Enquête ouverte: donnez-moi mes données!

Peut-on surveiller ses employés? Filmer ses clients? Quelles sont les règles en matière de vidéosurveillance? Suite à de nombreuses plaintes, le canton du Valais a décidé de sévir: le service de protection des travailleurs mène une campagne de contrôles sur l'utilisation de caméras de surveillance dans les établissements publics.

Cliquez ci-dessous pour écouter l'éclairage de Sébastien Fanti, avocat et préposé à la protection des données et à la transparence du canton du Valais. Par Isabelle Fiaux.

Keystone - Jean-Christophe Bott

Par Julien Schekter, producteur

Le 13 décembre dernier, On en parle avait lancé Datak, un jeu en ligne pour comprendre les enjeux du big data qui résultait d'une longue enquête sur la récolte des données.

Tout au long de cette enquête, la grande majorité des spécialistes interrogés se sont montrés inquiets par la situation suisse. Certains ont par exemple évoqué le fait que très peu de parlementaires étaient au fait des questions que posent le big data et que les autorités étaient très en retard.

Un avis que ne partage pas le directeur de l'Office fédéral de la communication (OFCOM) Philipp Metzger, interrogé dans l'émission de la RTS: "Je ne pense pas que l’on soit en retard. Je pense que la Suisse est bien positionnée pour profiter de cette numérisation à l’avenir".

>> L'interview de Philipp Metzger dans son intégralité :

Avantage ou danger?

Le big data constitue-t-il un avantage, notamment pour l’économie, ou un danger pour la sphère privée? "Il est une chance, pas seulement pour l’économie, mais aussi pour toute la société", répond le directeur de l'OFCOM.

Et d'ajouter: "Nous devrons à l’avenir nous poser des questions d’ordre tout à fait fondamental et éthiques. Est-ce que, par exemple, c’est une bonne chose de faire primer la protection d’une donnée personnelle sur la vie de quelqu’un?".

"Il faut être plus offensif"

Selon le directeur de l'OFCOM, il faut voir en cette numérisation une opportunité: "On a en suisse souvent des réflexes un peu défensifs, un peu négatif, protecteurs... Ici, il s’agit vraiment d’être plus offensifs, en acceptant, bien sûr, qu'il y a aussi des défis et des risques majeurs, des craintes dans la population".

Pour lui, il s'agit de trouver un bon équilibre: "Il faut encadrer tout ça sans que cela devienne un plan directeur du gouvernement, car ce n'est pas lui qui va savoir in fine, et à tout moment, quels sont les bons plans pour la numérisation".

>> Lire aussi : La RTS lance Datak, le jeu qui interroge notre gestion des données et "Le big data est une chance pour l’économie et pour toute la société"

>> L'article de RTS Info:

La voiture d'aujourd’hui est-elle en passe de devenir l’espionne de votre vie privée? Les voitures connectées et autonomes collectent en effet tout un tas de données - des données techniques propres au fonctionnement du véhicule, mais pas seulement.

Cliquez ci-dessous pour écouter notre entretien avec Lorenzo Quolantoni, journaliste à la Revue Automobile, qui signe justement un article à propos du big data embarqué dans l’automobile.

Mimi Potter

Site de la Revue Automobile

Le système d’exploitation Windows 10 préservera d’avantage - dès les prochaines mises à jour prévues en 2017 - la sphère privée de ses utilisateurs. C’est le Préposé fédéral suppléant à la protection des données, Jean-Philippe Walter, qui a fait plier le leader mondial des systèmes d’exploitation Microsoft. Une démarche suisse dont l’impact est mondial.

Johanna Commenge a recueilli les précisions de Jean-Philippe Walter et de Guillaume Saouli, le co-président du Parti pirate suisse. Ce dernier reste circonsopect à propos de ce qui sera fait de nos données personnelles et ne conçoit toujours pas d'utiliser un système d'exploitation qui les syphone. Cliquez ci-dessous pour écouter leurs positions.

Microsoft

Découvrez de manière ludique les résultats de nos nombreux mois d’investigations sur les données personnelles et les enjeux du big data avec le "serious game" DATAK!

Fraîchement engagé en tant que stagiaire par le maire d’une ville pour gérer les réseaux sociaux, vous êtes confronté à plusieurs dilemmes au quotidien. D'importantes décisions sont à prendre (de votre vie privée aux choix pour la collectivité), rythmées par un redoutable chrono et ponctuées de vidéos de youtubers.

Etes-vous prêts à relever le défi? Jouez à DATAK!

DATAK, le jeu.

Les 5 points clés sur la protection des données personnelles.

Consultez notre guide de survie #mesdonnées (PDF)

Par Didier Bonvin, journaliste

Après une année de demande, Google nous a enfin ouvert ses portes. Nous cherchons à obtenir des réponses directes concernant l’usage et la récupération des données utilisateurs. Google nous a finalement ouvert les portes de son QG de Munich. Après une visite guidée des séduisants locaux comprenant salles de fitness, cuisines, terrasses sur le toit, terrain de baskets et salles de jeux, nous avons découvert que Google a aussi des bureaux! Stephan Micklitz, Engineering Director on the Identity, Privacy and Security team (ouf!), a répondu aux questions de Didier Bonvin.

Il explique:

Quelles données Google collecte sur nous et comment on peut les monitorer.

Comment télécharger ses données.

Quels accès peuvent avoir les gouvernements sur ces données.

Et il nous explique même en fin d’interview comment faire pour éviter la pub ciblée de Google!

RTS - Didier Bonvin

Bonus: écoutez l'interview complète de Stephan Micklitz (en anglais).

Par Temps Présent

Les caméras de vidéosurveillance sont partout sur le domaine public. Avec le terrorisme et le sentiment d'insécurité ambiant, elles rassurent une population qui, dans l'ensemble, les voit d'un oeil bienveillant. Mais ce système de lutte contre la criminalité est controversé. On craint des atteintes massives à la protection de la personnalité, qui feraient que chacun de nos faits et gestes serait désormais épié, espionné.

Ainsi à Genève, une expérience unique en Suisse, celle d'une surveillance en direct 24 h sur 24 h de tout un quartier, vient d'être terminée. Dans d'autres villes par contre, comme Thoune, on a fait ses comptes et finalement retiré toutes les caméras des rues!

Regardez le reportage de nos confrères de Temps Présent sur RTS Un.

Liens:

Une caméra dans mon hall d’entrée, que faire? (26 avril 2016)

Vidéosurveillance: CFF et TL ne respectent pas la loi (8 février 2016)

Par Julien Schekter, producteur

Un ouvrage sur le big data veut aider les entrepreneurs de l'Arc jurassien à entrer dans l'ère digitale pour développer "l'industrie 4.0". Mais comment des PME peuvent-elles se saisir des possibilités du big data? Pour en parler, Julien Schekter reçoit le mathématicien Xavier Comtesse, co-auteur du livre "Data entrepreneurs" aux éditions G d'Encre.

Fotolia - Rawpixel.com

Par Henry Buxant, journaliste

Les transactions financières, achats, factures, crédits et autres représentent une empreinte unique et extrêmement précise. Des données que détiennent les institutions financières qui nous connaissent mieux que nous-mêmes. Mais que font-elles de ce big data à haute valeur ajoutée? Pas grand-chose, du moins pas à l’extérieur de leurs murs, par contre à l’interne, certaines s’en servent pour vous envoyer des offres de partenaires, d’autres pour développer des outils utiles à la gestion de vos avoirs. Et après? La question est posée dans On en Parle en compagnie d'Antoine Verdon, expert en digitalisation bancaire.

Fotolia - auremar

Par Vertigo

Non, Donald Trump ne se contente pas de tabler sur ses discours, ses tweets et ses meetings polémiques pour gagner la présidentielle américaine. Tout comme sa concurrente Hillary Clinton, le candidat républicain se sert aussi du big data pour arriver à ses fins. Il a investi 5 millions de dollars dans une société londonienne chargée de produire, à partir des données de millions dʹAméricains, des messages hyper ciblés et hyper persuasifs qui sont publiés sur les réseaux sociaux. Des techniques de marketing politique qui commencent à arriver également en Suisse. Le décryptage de Magali Philip.

AFP - Mandel Ngan

Par On en parle

L'industrie du jeu vidéo a compris depuis longtemps comment faire usage des big data. Selon Jean-Paul Simon, consultant indépendant en stratégie et réglementation des médias et des télécommunications, les consommateurs sont devenus des maillons essentiels dans la création et le partage des jeux. Pourtant, si le recours aux données est excellent pour l'optimisation des jeux, le big data encore loin de fournir une formule magique qui garantisse le développement de jeux à succès.

L'utilisation massive de données dans le jeu vidéo représente-t-elle un danger pour la sphère privée des joueurs? De l'avis de Jean-Paul Simon, la technologie est une partie du problème, mais elle est aussi peut-être une partie de la solution. Ecoutez l'entretien mené par Julien Schekter.

Péter Mács

Par On en parle

Les demandes d’accès à leurs données personnelles par des citoyens auprès du SRC – le Service de renseignement de la Confédération – ont explosé depuis le mois de septembre. Un mois marqué par l’adoption en votation de la nouvelle loi sur le renseignement – c’était le 25 septembre 2016.

Le SRC enregistre à ce jour 335 demandes d’accès à des données personnelles, alors que ce chiffre n’était encore que de 17 au mois de juillet. Pour comparaison, le SRC a dû répondre à 49 demandes en 2015, 40 en 2014 et 77 en 2013. Conséquences de cette explosion des demandes: plusieurs citoyens n’ont pas reçu leurs données dans un délai de 30 jours, comme le prévoit la loi. Le SRC affirme faire tout son possible pour que tout le monde reçoive au moins une première réponse d’ici le 15 novembre.

Pour mémoire, l’article 8 de la Loi sur la protection des données autorise tout citoyen à demander ses données personnelles à toute entreprise ou administration publique – qui doit répondre dans les 30 jours.

Le SRC enregistre une explosion des demandes d’accès à des données personnelles.

La dépêche de RTS Info

Par Bastien von Wyss, Delphine Gianora et Julien Schekter

Chaque seconde ou presque, votre smartphone communique avec les antennes des opérateurs. Des données de déplacement qui peuvent être très utiles pour des collectivités afin de prendre des décisions d'urbanisme. C'est ce que propose Swisscom dans son projet Smart City et c’est une démonstration de la force et de la rentabilité du traitement massif de donnée (big data). Mais cela pose aussi des questions. Ces données sont-elles bien anonymes? Et surtout pourquoi ne peut-on pas en tant que client avoir accès à ces données qu’on a nous-même produites? N’est-ce pas des données personnelles?

Alors les réponses sont variées.

On peut croire, au vu des personnes à qui on a eu accès, que les données sont bien anonymisées pour la gestion du trafic. Les villes partenaires de Swisscom dans ce projet ne peuvent donc pas savoir si M. X ou Mme Y était hier à 14h37 à la rue de la Poste.

Et on peut saluer que Swisscom permette de refuser le traitement de ses données, même s’il faut chercher pour trouver cette option. Normal qu’il n’y ait pas de promotion de ce service par Swisscom, car ce serait scier la branche sur laquelle ils sont en train de bien s’installer… Si de nombreux clients le faisait réellement, ils ne pourraient plus vraiment proposer un service performant. Mais il y a un certain paradoxe à dire que, d’un côté, il n’y a pas de risque car c’est anonyme, ce ne sont pas des données personnelles… Et de l’autre laisser la possibilité aux gens de refuser que ces données soient utilisées. Voilà comment accéder à ces options (PDF) et vous remarquerez qu’on vous inviter à revisiter la page régulièrement car on peut décider de l’utilisation de ses données par Swisscom pour chaque projet distinctement… Il peut donc y en avoir d’autres à l’avenir!

Maintenant qu’on est rassurés concernant l’anonymsiation de ces données de géolocalisation, on reste par contre perplexe devant la lecture de la loi sur la protection des données que fait l’opérateur. Pour Swisscom, la Loi sur les télécommunications est plus forte que la Loi sur la protection des données. Et donc pas besoin selon eux de nous fournir ces données de localisation, nos préférences d’achat en matière de télévision, peut-être même les sites que nous visitons, car ce ne sont pas des données mentionnées par la Loi sur les télécommunications. Et impossible même de savoir s’il n’y a pas encore d’autres champs de données analysées, car on ne peut pas les obtenir en faisant une demande de données en tant que client.

En conclusion, chacun se fera son opinion, on voit à nouveau bien le dilemme: des aspects positifs, comme les bonnes décisions politiques d’urbanisme qui peuvent être prises grâce à la puissance du big data… Mais aussi le revers de la médaille: une véritable opacité, peu de moyens pour le citoyen (ou l’état d’ailleurs) de contrôler ce qui sera vraiment fait avec ses données dans le futur. Pour l’anecdote, nous avons demandé à voir une ligne de code de ces fameuses traces de localisation laissées par nos smartphones… Et bien impossible, selon Swisscom, de nous en montrer une. Le data scientist rencontré sur place lui-même n’avait jamais vu une donnée toute seule… Pour faire un comparatif imagé, on pourrait dire qu’aujourd’hui les data scientists sont parfois des boulangers qui n’ont jamais vu un grain de blé, mais qui sont des grands spécialistes du pain…

Fotolia - adam121

Sur le même sujet:

Le droit d’accès doit être garanti! Les opérateurs violent la loi sur la protection des données! (29 février 2016)

La réponse de Swisscom à François Charlet (12 août 2015)

Informations sur la protection des données chez Swisscom

Le 19:30 nous a aussi accompagné dans cette enquête. Visionnez ce très bon reportage qui résume aussi la première partie de cette enquête:

Par Sacha Horovitz, journaliste

Les données associées à une photo (données EXIF) peuvent révéler le modèle d’appareil utilisé, la focale de l'objectif, mais aussi la date de la prise de vue ou les coordonnées géographiques précises où la photo a été réalisée. Mais que reste-t-il de ces données après publication des photos en ligne, notamment sur les réseaux sociaux les plus en vogue? Après avoir enregistré ces données EXIF pour une potentielle analyse, Facebook les expurge du fichier image (généralement au format JPG) au moment de leur publication. Instagram, Twitter et WhatsApp adoptent sensiblement la même méthode. En revanche, une photo publiée via Flickr (et téléchargée dans sa dimension originale) ou via WordPress conserve la totalité de ses données associées. N'importe quel internaute peut ainsi obtenir des informations concernant le moment ou le lieu où la photo a été prise. Mais des outils simples d'utilisation existent pour supprimer ces informations avant publication de nos images, ceci afin de garantir la protection de nos données personnelles.

fotolia - profit_image

Consultez notre tableau récapitulatif simplifié ou détaillé (au format PDF) de ce qu'il advient des métadonnées des images après publication en ligne.

Outil en ligne gratuit pour modifier les données associées aux photos

ExifTool: outil de référence gratuit (Mac OS et Windows)

Par Johanna Commenge, journaliste

Premier jour des vacances d’octobre. Temps libre et tentations accrues donc de déclencher son appareil photo, qu'il soit intégré à son smartphone ou numérique en solitaire.

Lorsque vous partagez une photo sur Internet, qu'advient-il des métadonnées enregistrées lors de la prise du cliché? Sont-elles accessibles à tous? Tout dépend du réseau social en question.

Les explications du professeur Touradj Ebrahimi, spécialiste à l’EPFL du traitement des signaux multimédia.

osorioartist - osorioartist

Par Christophe Canut, journaliste

Suite et fin de notre enquête sur la surveillance de l’Etat avec François Charlet, juriste spécialisé en droit des technologie et Jean-Christophe Sauterel, porte-parole de la police vaudoise.

Quel est l'encadrement légal pour la surveillance des citoyens par le Service de renseignement de la Confédération et la police en Suisse?

fotolia - Style-Photography

Tristan Nitot, ancien membre du Conseil national français du numérique et auteur de "Surveillance" pointe du doigt le flou entourant la notion de comportement suspect actionnant la surveillance des citoyens en France. François Charlet décrypte la situation en Suisse.

Oleg Kozlov

Par Frédérique Volery et Henry Buxant, journalistes

Les entreprises liées au big data ne se gênent pas d’utiliser les données des internautes à leur corps défendant. C’est du moins ce que l’on constate dans le cadre de cette enquête ouverte #mesdonnées. Mais une nouvelle tendance apporte un changement de paradigme: le self data ou lorsque l’individu redevient acteur de ses propres données.

fotolia - ra2 studio

Le site de la Healthbank

Le site de Midata

On en parle annonce le lancement, le 13 décembre 2016, d'un serious game: DATAK. Ce jeu, qui couronne un an et demi d'enquête ouverte sur la protection des données personnelles, sensibilisera aux enjeux du Big data. Pour en savoir plus, rendez-vous dès à présent sur www.rts.ch/datak.

Etes-vous DATAK?

Avec le soutien de Jeunes et médias.

Par Théo Chavaillaz et Yves-Alain Cornu, journalistes

Même si vous protégez vos données, comment vous tenir à l'écart du hacking et du trafic de données sur le marché noir d'internet? Du piratage d’un smartphone à la revente des données de cet appareil sur le web, "On en parle" s’intéresse à la valeur que peuvent avoir vos données sur le darknet.

Intervenants: Sergio Alves Domingues, directeur technique de SCRT, une entreprise spécialisée dans la sécurité informatique, Quentin Rossy, professeur à l’école des sciences criminelles de l’université de Lausanne, et David Rüfenacht, analyste à MELANI, la Centrale d'enregistrement et d'analyse pour la sûreté de l'information.

Des données personnelles complètes de citoyens suisses sont à vendre sur le darknet.

Le mythe de l’anonymat sur internet, c’est fini. On laisse des traces partout.

profit_image

La Centrale d'enregistrement et d'analyse pour la sûreté de l'information MELANI

Entré en fonction le 1er juin 2016, Adrian Lobsiger est notre première ligne de défense en matière de protection de nos données en Suisse. Quels sont ses pouvoirs, ses motivations? Comment réagit-il aux constats de notre enquête sur les données menée depuis bientôt 18 mois? Le nouveau Préposé fédéral à la protection des données nous a accordé un entretien juste avant les vacances d’été 2016. Selon lui "Il nous manque une législation qui permet au citoyen de faire de vrais choix".

Suite à cette rencontre, Julien Schekter nous livre, en commentaire, son sentiment: en Suisse, la protection de nos données personnelles n'est pas une priorité politique. Adrian Lobsiger est à la tête d’un service bien trop petit pour la tâche qui lui incombe. 35 personnes réparties sur 28 postes ne suffisent pas pour lutter contre Google, Facebook, les opérateurs suisses et tous les services de la Confédération... Le cadre légal ne lui permet pas non plus d'employer les moyens nécessaires afin de remplir sa tâche, contrairement à ce qui se fait ailleurs en Europe. Ce dernier ne dispose que d'un pouvoir de recommandation et s'il saisit la justice, l'amende maximum est de CHF 10'000.-, c'est dérisoire. Quant à la volonté du nouveau préposé de se saisir des constats parfois alarmants de notre enquête... A lui de faire ses preuves, il n'a pas montré de véritable volonté dans ce sens... Mais il n'est en poste que depuis quelques mois, laissons-lui du temps et nous serons attentifs!

L'équipe de "26 minutes" s'intéresse également à la problématique de la protection de nos données personnelles en invitant Sébastien Fanti, le Préposé valaisan à la protection des données.

L'Office fédéral de l’informatique et de la télécommunication (OFIT) entamera bientôt le passage à Windows 10 sur tous les ordinateurs de l’administration fédérale. Une décision surprenante, sachant qu’une enquête du Préposé fédéral à la protection des données, ouverte en août 2015, est toujours en cours, portant sur la détection et la transmission automatique de données personnelles à Microsoft et ses partenaires.

Alors que l’école valaisanne a appliqué le principe de précaution en différant la mise à jour de ses ordinateurs en attendant les conclusions de l’enquête, la Confédération se montre donc particulièrement confiante quant à la préservation des données des citoyens qu’elle détient.

Giovanni Conti, directeur de l’OFIT et ingénieur en informatique, s’en explique au micro d’Yves-Alain Cornu.

DR

Intrusif, effrayant, le big data n’a-t-il vraiment que des inconvénients? L’exploitation massive de nos données permet aussi de régler de nombreux problèmes avant même qu’ils n’apparaissent. C'est le point de vue de Jérôme Berthier, chef du département Big Data chez ELCA Informatique à Lausanne, interrogé par Yves-Alain Cornu.

fotolia - Melpomene

Vous pensiez vous prémunir du ciblage sur Internet en désactivant les cookies, ces fichiers placés automatiquement par les sites internet sur votre ordinateur pour vous reconnaître entre deux visites? Erreur! Le site amiunique.org vous montre comment vos seuls réglages de navigation suffisent à vous identifier.

georgejmclittle

Le site Am I Unique

Info sur le tracking du PFPDT

Oui, vous pouvez être tracé! (capture d'écran Am I Unique)

Par Xavier Bloch, journaliste

Nom, prénom, adresse, âge, profession, montant de mes achats, des quantités de données personnelles dorment dans des fichiers, des centaines de milliers de fichiers des administrations, des entreprises, des associations ou encore des clubs sportifs, en Suisse et à l'étranger.

Jean-Philippe Walter, Préposé suppléant fédéral à la protection des données et à la transparence, nous parle du droit du citoyen d'exiger l'effacement de toutes ses données personnelles, à qui il doit s'adresser et comment il doit s'y prendre.

Tout individu peut demander au maître d'un fichier d'effacer les données le concernant.

RTS

Qu'on est loin aujourd'hui du formidable potentiel de liberté promis par Internet à ses débuts. Le réseau des réseaux avait le potentiel de rapprocher les gens. Les idées devaient enfin s'échanger sans limite à travers le monde. L'humanité allait s'élever, enfin.

Mais en 2016, les humains sont plutôt empêtrés dans la toile. Les idées nauséabondes font du clic, les géants du web phagocytent les internautes en imposant des conditions d'utilisation insensées. Pas content? Pas de surf! En 2016, le web nous emprisonne plus qu'il nous libère.

Entretien avec Solange Ghernaouti, professeure à l'Université de Lausanne, experte internationale en sécurité informatique… et citoyenne, inquiète aujourd'hui de l'évolution du web. Une chronique de Laurence Difélix et Anne Flament dans l'émission Six heures - Neuf heures, le samedi.

Fotolia - olly

En 15 mois d'enquête ouverte consacrée à la protection des données personnelles, les différentes thématiques abordées ont débouché sur de nombreux conseils pratiques quant au choix de la messagerie, l'utilisation des réseaux sociaux ou encore le paramétrage d'un téléphone mobile.

Le point avec Sébastien Schopfer, formateur d’adultes dans les nouvelles technologies, au micro de Philippe Girard et Sacha Horovitz, et téléchargez le guide de survie #mesdonnées (PDF).

RTS - Sacha Horovitz

On vous l'apprend ce matin, l'option, dans les nouvelles conditions générales de WhatsApp, qui vous permet d’éviter de partager votre numéro de téléphone sur Facebook n'est qu'un écran de fumée.

Dans les faits, tous vos contacts et informations de compte de messagerie sont désormais partagées avec toutes les entités de la famille Facebook. La seule façon de stopper le transfert de données est de désinstaller WhatsApp.

Fotolia - dolphfyn

Seule la suppression de WhatsApp évite les transferts vers Facebook (RTS Info)

Pas besoin d’être frappé de multiples commandements de payer pour être pénalisé dans la vie de tous les jours. Les sociétés de renseignement de solvabilité sont au courant des moindres rappels de factures et établissent, sur cette base, un score de solvabilité utilisé ensuite par des commerçants ou des instituts financiers pour accepter ou refuser un nouveau client. Mais les données recueillies sont-elles correctes, et d’où proviennent-elles?

Yves-Alain Cornu mène l’enquête et interroge Sébastien Mercier, secrétaire général et juriste chez Dettes Conseils Suisse.

Fotolia - Andrey Popov

En mars 2016, notre enquête révélait que les données de 70% des Vaudois étaient transmises par les communes à des fins publicitaires à la fondation BVA à Lausanne.

Près de deux mois et demi plus tard, la décision du Chef du département de l’économie et du sport avait découlé sur l'émission d'une circulaire à l'attention des communes précisant la liste exhaustive des données sur les citoyens qu'elles peuvent mettre à la disposition de la fondation BVA et l'obligation de remettre systématiquement à tout nouvel habitant une information claire sur la transmission de leurs données, l'utilisation qui en est faite et la possibilité qu'ils ont de s'y opposer en remplissant un talon-réponse annexé.

La mesure est effective depuis le 1er juillet 2016 à Lausanne où chaque nouvel habitant, de même que tout résident vivant un événement d'état civil, reçoit, en complément de son certificat d'inscription, une fiche d'information établie par le Service cantonal de la population, en coordination avec la Préposée à la protection des données et à l'information.

Le communiqué de la Municipalité daté du 27 juin 2016.

Cette décision, communiquée par la Municipalité le 27 juin 2016, est consécutive à l’interpellation urgente de Gaëlle Lapique - Les Verts (Henri Klunge - PLR et Vincent Brayer - PS avaient également interpellé la Municipalité dans ce sens) sur le thème "Lausanne commercialise-t-elle des données sur ses habitants?" que le Conseil communal avait entendu lors de sa séance du 12 avril. A Lausanne, comme dans les 317 autres communes vaudoises, chaque habitant devrait désormais avoir la possibilité de faire valoir son droit d'opposition à la transmission de ses données personnelles à la fondation BVA de façon simple.

Montre-moi ton visage je te dirai qui tu es. Une application russe spécialisée dans la reconnaissance faciale fait parler dʹelle. Ses performances laissent entrevoir un futur plutôt gris. Par Mathieu Chevrier dans l'émission "Vertigo".

findface.ru

Alors qu’il ne reste plus que six semaines pour bénéficier de la mise à jour gratuite de Windows 10, de nombreuses questions restent en suspens concernant la collecte de données à distance par Microsoft. Pour y voir plus clair, notre journaliste Yves-Alain Cornu, après un test en tant qu’utilisateur en août 2015, a exigé les données recueillies à son sujet auprès de Microsoft Suisse. Sans réponse pendant des mois. Suite à notre intervention, il a finalement reçu quelques renseignements difficiles à déchiffrer:

La réponse de Microsoft

Malheureusement, après avoir envisagé de nous fournir des explications détaillées, le géant Microsoft n’a pas été en mesure de nous répondre. Ce qui n’est pas pour rassurer Sébastien Fanti, Préposé valaisan à la protection des données, qui avait émis en 2015 une recommandation de ne pas accepter cette mise à jour avant que l’éditeur informatique ne fournisse de garanties suffisantes:

Le manque de collaboration est la marque de fabrique de Microsoft. (...) Le géant Microsoft ne respecte manifestement pas le droit suisse. Il faut le constater et le mettre en exergue.

Une enquête est en cours auprès du Préposé fédéral à la protection des données. Le point avec Yves-Alain Cornu et Sébastien Fanti:

fotolia - ar130405

140 millions de TV dans le monde sont connectées à Internet. Via leurs micros et leurs caméras, de nombreuses données sont collectées sur les utilisateurs. Où vont ces données? Pour quels usages? Une enquête de Didier Bonvin, avec les explications de Christian Neuhaus, délégué à la direction de Swisscom, et François Charlet, juriste spécialisé en droit des nouvelles technologies.

viperagp

Mi-mars, notre enquête a révélé qu’environ 70% des données personnelles des Vaudois étaient transmises à la fondation BVA à des fins de publicité ciblée. Près de deux mois et demi plus tard, la décision du Chef du département de l’économie et du sport débouche sur l’émission d’une circulaire à l’attention des communes et d’un talon réponse qui devra dorénavant être remis à tous les nouveaux citoyens du canton. Il leur permet, toujours en employant la méthode de l’opt out, de choisir que leurs données personnelles ne soient plus transmises par leur commune de résidence à la fondation BVA.

L'enquête ouverte de "On en parle" a à nouveau permis d'améliorer la façon dont nos données personnelles sont traitées. Mais les décisions prises par les autorités sont-elles vraiment suffisantes? Comment cette nouvelle circulaire permet-elle de mieux protéger les données personnelles des citoyens?

Pour faire le point, nous accueillions Philippe Leuba, le Chef du département de l’économie et du sport pour le canton de Vaud, Mélanie Buard, la Préposée à la protection des données ad intérim pour le canton de Vaud, Vincent Brayer (PS) et Henri Klunge (PLR) qui, avec les Verts, ont lancé des interpellations urgentes au Conseil communal lausannois suite à notre enquête.

Fotolia - oneblink1

Pour aller plus loin

Le Chef du département de l’économie et du sport pour le canton de Vaud, Philippe Leuba, interrogé par Sacha Horovitz suite à l'envoi d'une circulaire par le Service de la population aux communes le 30 mai 2016. Ce document précise le cadre dans lequel les communes peuvent transmettre les données personnelles des citoyens à la fondation BVA. Il contient également un talon-réponse qui devra désormais être remis systématiquement à tous les nouveaux citoyens afin de leur permettre de bloquer la transmission de leurs données personnelles à cette fondation qui réalise des opérations de marketing direct.

Keystone - Christian Brun

En Suisse, une entreprise qui souhaite cibler ses communications publicitaires sur un segment précis de la population peut s'adresser en ligne à des vendeurs d'adresses spécialisés dans la collecte et l'enrichissement d'informations personnelles sur les citoyens.

Mais quelles sont les sources permettant à ces vendeurs d'adresses (ou list brokers en anglais) de collecter nos données personnelles? Comment s'y prennent-ils pour les enrichir? Un citoyen peut-il facilement savoir quelles données ces sociétés détiennent sur lui? Et comment s'y prendre pour échapper à la publicité dont on est la cible via ces vendeurs d'adresses?

Une enquête de Sacha Horovitz, Bastien Von Wyss, Julien Schekter, Delphine Sage et Camille Degott.

fotolia - olly

Selon certains spécialistes, privilégier des acteurs locaux est le meilleur moyen d'héberger ses données. Pour "On en parle", Henry Buxant s'intéresse à l'offre disponible en Suisse.

Avec Pascal Gasser, de Ganesh Hosting, une société spécialisée dans l’hébergement, en Suisse, de données et d’applications sur internet.

Sashkin

La vitesse phénoménale des développements numériques prend de court quasiment toute initiative sociale d'anticipation et de prévention. Des solutions pourtant existent pour se prémunir des effets secondaires néfastes du chapardage de nos données et de l’exploitation commerciale du goût de chacun à communiquer. 

Esquisse de solutions dans "Médialogues" avec Sébastien Fanti, avocat, spécialiste des nouvelles technologies et préposé à la protection des données du canton du Valais.

Keystone - Dominic Steinmann

L'enquête ouverte de "On en parle" révèle, depuis juin 2015, que les citoyens n'ont pas accès à toutes leurs données quand ils les réclament auprès des entreprises, même en Suisse. Les entreprises sont-elles donc au courant de leurs obligations légales? La marge d'action dévolue au préposé fédéral est-elle suffisante? Quels sont les moyens dont il dispose pour contraindre les entreprises à respecter la loi? Et les citoyens, sont-ils assez informés? Comment peuvent-ils faire valoir leurs droits? Et que nous réserve l'avenir, notamment sur le plan légal?

Julien Schekter en débat dans "On en parle" avec Monique Cossali Sauvain, Cheffe de l’Unité Projets et méthodes législatifs du Département fédéral de Justice et Police (DFJP), Jean-Philippe Walter, préposé fédéral ad intérim à la protection des données et à la transparence, Fathi Derder, Conseiller National PLR, Laurence Jovignot-Halifi, présidente du comité stratégique de Vigiswiss, et Eric Sinot, consultant spécialisé sur les questions juridiques de protection des données pour les entreprises.

Protection des données en Suisse: sommes-nous vraiment protégés par nos autorités?

Comment se fait-il que des sociétés de démarchage téléphonique possèdent certaines de vos données médicales? Deux auditrices dénoncent deux procédés similaires dont le but consiste à leur fixer un rendez-vous avec un courtier en assurance. Que faire pour éviter une telle dérive?

"On en parle" reçoit Jean-François Steiert, Conseiller national socialiste et vice-président de la Fédération suisse des patients.

Monkey Business

L'article de RTS Info

Informer la FINMA

Informer l’OFSP

Informer le Préposé fédéral à la protection des données

La santé est entrée dans l’ère numérique. Que nous portions un bracelet électronique pendant notre jogging ou que le médecin nous prescrive des analyses génétiques, nous alimentons une masse de données qu'on appelle le Big data. Quels sont les risques pour les individus et pourquoi ne toucheraient-ils pas une part des gigantesques profits que ces données intimes vont générer?

Les collectivités locales et les services publics investissent de plus en plus pour créer des cités intelligentes et interactives. Organisation urbaine plus efficiente, gestion des flux de trafic, des places de parc ou du ramassage des déchets, mobilité améliorée: quels sont les objectifs de la connectivité? Comment la ville connectée va-t-elle modifier notre quotidien? Les "smart cities" vont-elles bouleverser notre manière de vivre la ville? Et comment nos données seront-elles utilisées dans ce contexte? "Tribu" reçoit Fabrice Consenti, architecte, fondateur de la société Edificom et président du groupe de travail sur les "smart cities" de ASIS Suisse.

Fotolia - fottoo

Le juriste autrichien Max Schrems est le grand défenseur des données personnelles. Il a fait plier Facebook devant les tribunaux et fait invalider par la Cour européenne de justice l'accord "Safe Harbor", un accord USA-Europe sur la transmission de données. Et son combat n'est pas fini. Interview avec celui qui fait trembler les géants du web. Par Julien Schekter et Delphine Sage dans "On en parle".

AFP - John Thys

Lien:

Lire l'article de RTS Info

Dans le cadre de l’opération RTS Big Data: "Adieu, vie privée", ABE a consacré une émission aux trucs et astuces pour ne pas se faire piéger sur le net. Une émission à voir ou à revoir ci-dessous avec les reportages suivants:

- Données privées sur Internet: comment se protéger?
- Historique et enjeux
- Arnaud Dufour, consultant en marketing digital,  exprime son inquiétude sur cette intrusion massive dans notre vie privée
- Le laboratoire de Barcelone DTL-Telefonica tente de rendre plus transparent le marché des données
- Un cadre juridique en retard
- Mes données: trucs et astuces

Retrouvez d'autres trucs & astuces pour protéger vos données sur le site de l'émission A Bon Entendeur

Comment des personnes mal intentionnées peuvent récupérer les données de notre smartphone ou de notre GPS? Comment préserver aux mieux nos informations sensibles? Les explications et les conseils de David Billard, professeur en traces numériques à la HEG-Genève, chargé de cours à l’institut de police scientifique de l’Université de Lausanne et expert judiciaire, et Hervé Bourlard, directeur de l'Idiap research institute de Martigny.

sauromatum design

"CQFD" vous emmène visiter un Security Operations Center (SOC) qui gère la sécurité du réseau internet du canton de Vaud. Avec Patrick Amaru, chef de service à la Direction des Systèmes d’information du canton de Vaud, et André Bourget, chef de la sécurité des Systèmes d’information du canton de Vaud.

Sashkin

Lien:

La Direction des systèmes d’information du canton de Vaud

Sur les réseaux sociaux, dans des bases de données ou dans le cloud, les éléments de notre vie privée, voire de notre intimité, n'ont jamais été aussi dispersés. Outre la question de l'utilisation de nos données, se pose aussi celle de leur sécurisation. Les serveurs sur lesquels elles sont stockées sont-ils suffisamment protégés des hackers? Comment s'organise la lutte contre le piratage informatique? Quels pourraient être les risques dʹune cyberattaque de grande envergure? Blaise Mao, rédacteur en chef de la revue "Uzbek & Rica", est l'invité de "Tribu".

Fotolia - sdecoret

Migros et Coop expliquent pour la première fois ce qu’ils font avec les données enregistrées dans les supermarchés grâce aux cartes de fidélité. 3,1 millions de Supercard et 2,8 millions de Cumulus qui enregistrent et analysent 75 à 80% des achats des Suisses. Que fait-on de cette masse d’informations? "On en parle" reçoit le sociologue Sami Coll, auteur de la thèse "Surveiller et récompenser. Les cartes de fidélité qui nous gouvernent" (Ed. Seismo).

Keystone - Christian Beutler

Tiré de la web-série interactive du même nom, Do Not Track, explore les différentes manières dont la Toile enregistre et traque nos activités, nos publications et nos identités pour le plus grand bénéfice de l'économie du Web et ses milliards de dollars. Quelle est la valeur cachée de chacun de nos clics?

Do not track

[Vidéo disponible jusqu'au 4 juin 2016]

Lien:

La web-série Do Not Track

Etudes de marché, publicité ciblée, profilage, solvabilité, recrutement professionnel, les algorithmes sont partout. Faut-il sʹen réjouir ou en avoir peur? Le pouvoir dʹappréciation est-il en train de passer de lʹhomme à la machine? "Tribu" reçoit Frédéric Kaplan, professeur de Digital Humanities à lʹEPFL.

Fotolia - agsandrew

Langage binaire, code, bit, algorithmes, deep learning… Dans "CQFD", Sarah Dirren vous propose de comprendre comment nous pouvons dialoguer avec un ordinateur. Les explications de Solange Ghernaouti, docteur en informatique et télécommunication de l’Université de Paris, Professeure à la Faculté des hautes études commerciales de l’Université de Lausanne, experte internationale en cybersécurité et cyberdéfense, directrice du Swiss Cybersecurity Advisory and Research Group et membre de l’Académie suisse des sciences techniques.

ninog

Lien:

The Swiss Cybersecurity Advisory and Research Group

Chaque jour, nous laissons des traces numériques, des données qui ont une valeur marchande. Chaque jour une société suisse est rançonnée. Chaque jour des milliers dʹattaques de hackers tentent dʹentrer dans nos réseaux privés ou publics. Chaque jour notre vie privée numérique est mise à mal. Mais qui surveille les surveillants? "Babylone" avec Sarah Dirren et Nancy Ypsilantis.

Fotolia - lolloj

Les app de rencontres ont le vent en poupe, les suisses en raffolent et les téléchargements sont incalculables. Grâce à la géolocalisation et aux paramètres, ces app trouvent une mine d'or de données dans les confessions des utilisateurs qui s'y livrent sans filtre. Problème: sur sept applications dont nous avons épluché les conditions générales avec l'aide de François Charlet, avocat stagiaire et juriste spécialisée en droit des technologies de l'information, toutes ont des lacunes et quatre sont complètement opaques. De plus, l'accès des utilisateurs à leurs propres données est souvent impossible. Une enquête de Bastien Von Wyss et Pauline Vrolixs pour "On en parle".

fotolia - pathdoc

Le big data est plus que jamais au cœur de l’actualité. BVA, CFF, Swisscom sont au centre des préoccupations, mais il reste encore bien d’autres pistes à suivre.

fotolia - gianfranco bella

L’arrêt du Tribunal Fédéral "Vidéosurveillance dans un immeuble locatif" émis en avril 2016 va dans le sens de la protection de la sphère privée. Un locataire bâlois a ainsi eu raison de son bailleur qui a dû retirer trois des douze caméras présentes dans son immeuble locatif. Jean-Philippe Walter, préposé fédéral à la protection des données (ad intérim), clarifie les droits et devoirs de ceux qui les posent et de ceux qui sont filmés.

Art Photo Picture

Liens:

L'arrêt du Tribunal Fédéral

Vidéosurveillance: CFF et TL ne respectent pas la loi (On en parle, février 2016)

L'analyse de François Charlet, avocat stagiaire

Par Frédérique Volery, journaliste

Le don du sang, tout le monde connaît. Mais savez-vous ce qu'est une biobanque? Le CHUV est en train d'en créer une Lausanne. Quels sont les enjeux de cet outil de recherche? Quelles en sont les limites, afin de respecter les droits du patient?

On en parle a ouvert la discussion avec Vincent Mooser, chef du service de biomédecine au CHUV et responsable de la Biobanque institutionnelle de Lausanne (BIL), et Dominique Sprumont, directeur-adjoint de l'Institut de droit de la santé de l'Université de Neuchâtel et vice-directeur de l'Ecole suisse de santé publique. Un sujet en (ré)écoute ci-dessous:

Raguet / Phanie

Par On en parle

WhatsApp, propriété de Facebook, a décidé de chiffrer désormais tous les messages, conversations ou appels transitant par son application. Mais que vaut ce cryptage? Quelles données protège-t-il?

Philippe Girard s'en entretient avec le juriste spécialisé en droit des technologies de l’information François Charlet.

fotolia - Sashkin

Par On en parle

Chaque téléphone a son propre identifiant qui permet de le localiser via le wifi notamment. Une manière d’étudier précisément les déplacements d’une personne.

"On en parle" recevait Antonin Danalet, chercheur à l’EPFL qui a étudié les déplacements de 2'000 personnes sur les campus de l’Ecole polytechnique lausannoise. Un travail éloquent qui montre le potentiel et les dangers des objets connectés. Un sujet d'Henry Buxant disponible en audio ci-dessous.

OpenStreetMap contributors, CC BY-SA - Antonin Danalet

Par Henry Buxant, journaliste

Paul-Olivier Dehaye, professeur de mathématiques à l’Université de Zürich, a obtenu ses données détenues par Turn, une société qui capte en ligne vos données de navigation et qui les utilise pour vous proposer de la publicité ciblée au bénéfice de partenaires commerciaux.

Ecoutez ci-dessous le récit de sa démarche longue et laborieuse.

fotolia - photocrealine

Par On en parle

Les enjeux autour de vos données personnelles et de leur transmission par votre commune n’est pas nouveau. En 1979, l’émission A Bon Entendeur - qui fête ses 40 ans cette année - enquêtait déjà sur le sujet et aboutissait aux mêmes conclusions. Edifiant!

Le suivi de notre enquête sur le sujet:

- Article du 14 mars 2016

- Article du 27 octobre 2015

Par On en parle

Mise à jour: en juillet 2017, la fondation BVA a cessé d'utiliser les données des communes (cf. article de RTS Info: La fondation BVA cesse d'utiliser les données personnelles fournies par les communes vaudoises).

La fondation BVA est mandatée par des entreprises afin de réaliser des envois publicitaires ciblés aux habitants. Elle obtient les données des citoyens vaudois directement de la part des communes. Ces dernières sont libres de lui transmettre gracieusement ces données ou contre émolument ou encore de ne pas les lui transmettre du tout.

PDF: Décision du Conseil d'Etat sur la transmission des données du contrôle des habitants au BVA (2003)

Nos recherchistes ont mené une vaste enquête auprès de toutes les communes vaudoises pour savoir si elles transmettent les données personnelles de leurs habitants à la fondation BVA. Sur les 318 communes vaudoises, 229 nous ont répondu. Environ 60% d’entre elles disent transmettre les données à la fondation BVA, ce qui représente plus de 70% de la population vaudoise. Or, parmi ces 131 communes qui transmettent les données, près de la moitié n'avertissent pas explicitement leurs citoyens qu’ils peuvent s'opposer à ce procédé, ce qui est contraire aux exigences émises par le service de la population du canton de Vaud dans une circulaire de 2007:

PDF: Information à donner aux nouveaux arrivants - Service de la population (SPOP)

Circulaire 07-05 de la Direction du Service de la population destinée aux Contrôles des habitants du canton - 10 septembre 2007.

De plus, certaines communes communiquent à la fondation BVA la confession de leurs citoyens ou leur profession alors que, sur le site du canton de Vaud, une page du Service de la population indique aujourd’hui:

Extrait du site web du Service de la population (SPOP).

Pire encore, ces données ne doivent même plus être collectées par les communes selon Mélanie Buard, la préposée à la protection des données du canton de Vaud que nous recevions lundi 14 mars 2016.

fotolia - anson

Enfin, notre carte interactive vous permet de savoir quelles communes vaudoises partagent vos données personnelles avec la fondation BVA. Si votre commune transmet des données (elle figure en rouge ci-dessous) vous avez le droit de lui demander de cesser cette transmission pour vos propres données.

Continuez de suivre et de participer à l'Enquête ouverte "Donnez-moi mes données!" via les réseaux sociaux avec le hashtag #mesdonnées ou dans notre groupe Facebook dédié.

Ecoutez la réaction du chef du Service de la population du canton de Vaud sur ce transfert de données par les autorités communales (On en parle du 15 mars 2016):

RTS

Voir le reportage du 19h30 suite aux révélations de notre enquête: "Certaines communes vaudoises sont pointées du doigt en matière de protection des données" (RTSInfo).

Pour suivre le début de notre enquête sur le BVA, consultez cet article.

En janvier 2015, l'émission Géopolitis se penche sur la récolte de données à large échelle, les fameuses big data, et sur la protection de ces données. Reportage et analyses pour faire le point sur les opportunités et les risques de cette nouvelle technologie qui se nourrit de nos données personnelles.

Par Henry Buxant, journaliste

Philippe Cudré-Mauroux, professeur au département informatique de l’Université de Fribourg, l’assure, on ne maîtrise pas encore le big data. Ce chercheur a obtenu un subside européen pour mener des recherches sur l’analyse et l’utilisation du big data. Les résultats obtenus par son laboratoire devraient permettre aux collectivités publiques, associations, entreprises a mieux exploiter les données principalement textuelles.

fotolia - data_ra2

Jean-Philippe Walter, préposé fédéral à la protection des donnée et à la transparence ad intérim, l’affirme ce lundi 29 février: "On considère que le droit d’accès doit être garanti, en ce sens on estime que les opérateurs, que ça soit Swisscom, Salt ou Sunrise, ne respectent pas la loi."

Voilà qui est clair!

Quand nous avons soumis cet avis, déjà exprimé lors de précédentes rencontres informelles par le préposé, les opérateurs se sont retranchés derrière la loi sur les télécommunications qui supplanterait, selon eux, la loi sur la protection des données. Ce à quoi répond Jean-Philippe Walter, au micro d’On en parle: "Ils se cachent derrière une interprétation de la loi sur les télécommunications en invoquant des dispositions telles que le secret des télécommunications, or le secret des télécommunications ne peut pas être opposé à la personne concernée. Ces dispositions de la LTC ne sont pas des exceptions à l’article 8 de la LPD. Ils doivent donner accès aux données qu’ils conservent et qu’ils gèrent dans le cadre de la téléphonie."

Une position on ne peut plus ferme qui induit une réaction. "Nous allons intervenir de notre côté dans un avenir proche pour discuter avec les opérateurs et essayer de trouver une solution qui soit conforme à la loi."

Balthasar Glättli, conseiller national Verts zurichois, a déjà actionné ses relations pour obtenir ses données par une autre voie. En voici le résultat.

Et quand on lui demande pourquoi il a effectué cette démarche, voici ce que répond le conseiller national écolo: "C’est un point de principe, les données que je crée, je dois pouvoir y accéder pour voir si elles sont correctes, pour pouvoir les corriger. Et puis ce sont des données qui donnent une connaissance intime de ma vie au jour le jour. La position des opérateurs est une violation très grave selon moi. Il faut que le politique se mobilise, que le préposé à la protection des données ait plus de pouvoirs."

François Charlet, juriste, qui participe à notre enquête depuis le début, a demandé ses données personnelles à Swisscom avec de la déception au rendez-vous. Il évoque avec nous la question de l’anonymisation des données. Des données personnelles cryptées que mettent en avant les opérateurs pour ne pas les communiquer à leurs clients. "Si on ne peut pas les lier à des personnes, il n’y a pas de droit d’accès", assure Jean-Philippe Walter. "Mais on peut évoquer le lien vraisemblable pour les obtenir."

Ecoutez toute l’émission de ce lundi 29 février 2016:

Ecoutez la série d’"Histoire Vivante" consacrée à l’histoire de la recherche scientifique à la lumière de l'émergence de l’internet et des big data. Cinq entretiens avec des philosophes et historiens des sciences sur les incidences des mutations numériques sur les citoyens.

La page de l'émission "Histoire Vivante"

Fotolia - tashatuvango

Par Yves-Alain Cornu, journaliste

Mon ordinateur sous Windows 10 est-il vraiment truffé de mouchards implantés par le géant Microsoft? Difficile à dire, même avec les réponses récemment obtenues au nom du droit à l’accès à mes données personnelles. Car suite à mon témoignage du 18 janvier dernier et vu l’absence de réaction de Microsoft malgré le dépassement du délai de réponse légal, la rédaction d'On en parle a décidé de contacter le siège de Microsoft Suisse. Une interpellation qui a permis de réveiller le géant et le pousser à enfin me répondre.

Réponse de Microsoft sur les données récoltées.

Passons les faibles excuses pour avoir "égaré" mes deux courriers recommandés envoyés depuis six mois... Reste que les maigres données obtenues laissent songeur. Pour plusieurs raisons: d’abord une référence à un Windows Phone que je ne possède pas. Ensuite, des données datées de fin 2015 à aujourd'hui, alors que j’ai désactivé les options de monitorage dans les réglages de mon ordinateur fin août 2015 déjà. Enfin et surtout, la brièveté et l’imprécision de la réponse, l’anonymat des courriers (malgré mes demandes répétées d’obtenir le nom d’un vrai interlocuteur) et le format copié-collé dans trois documents Word séparés font davantage penser à un brouillon d'écolier qu'à une réponse officielle émanant de l'une des plus grandes firmes informatiques du monde. Jugez-en par vous-même, vous trouverez ces trois éléments réunis dans ce document PDF.

Faute d’explications claires de Microsoft, j’en appelle à votre bon cœur: bienvenue à quiconque peut me traduire ce charabia! Rendez-vous dans le groupe Facebook #mesdonnées pour partager vos impressions.

Par Henry Buxant, journaliste

fotolia - McCarony

Jean-Philippe Walter, préposé fédéral à la protection des données et à la transparence, demande aux CFF et à l'UTP (Union des Transports Publics) d’effacer les données de contrôle du SwissPass. "Il n’existe pas de base légale autorisant la conservation de ces données" confie le préposé à On en parle.

Les CFF réaffirment, comme nous l'évoquions dans notre sujet du 11 février, que ces données ne servent qu'à assurer un meilleur suivi des plaintes.

"Néanmoins, rien ne justifie de garder une aussi grande quantité de données" assure Jean-Philippe Walter. Les CFF sont-ils dans l'illégalité? "On peut le dire comme ça", conclut le préposé fédéral à la protection des données et à la transparence.

L'UTP et les CFF se donnent jusqu'au 29 février 2016 (délai accordé par le préposé) pour se prononcer sur cette demande.

SwissPass, suite et pas fin, donc…

Par Henry Buxant, journaliste

Depuis l'introduction du SwissPass, les CFF enregistrent et conservent pendant 90 jours vos données de contrôles d'abonnement général et 1/2 tarif.

Votre nom, le train dans lequel vous avez voyagé, la ligne que vous avez empruntée et le jour du trajet sont relevés mais ces informations ne seraient pas utilisées à des fins de marketing.

Extrait des données détenues par les CFF concernant les contrôles du SwissPass.

(voir le document complet au format PDF)

Alors que les CFF reconnaissent l’utilisation des données de leurs clients pour des actions commerciales ciblées, selon leur porte-parole Donatella Del Vecchio, les données de contrôle n’entrent pas en ligne de compte. Elles ne seraient utiles que pour valider des réclamations d’usagers. "La volonté très claire est de ne pas établir de profil avec ces données", indique la porte-parole des CFF. "Et ce ne serait techniquement pas possible car il ne s’agit que d’un moment. On ne connaît pas la destination finale du passager."

En outre, les données de contrôle ne sont pas transmises aux partenaires présents également sur le bristol rouge, comme Mobility, ceux-ci n’ayant pas accès aux données contenues sur la première puce de la carte. Ils utilisent la deuxième puce et définissent leurs propres conditions liées à la protection des données. "Au client de choisir ce qui lui convient" précise Donatella Del Vecchio.

fotolia - TTstudio

Reste que le marketing sauce CFF doit bien se servir de vos données pour vous profiler en "Economes", "Bons vivants" ou "Infatigables" (lire à ce propos notre sujet du 21 septembre 2015), reste encore à savoir précisément lesquelles. Le sujet n’est pas clos. Il y a encore beaucoup à dire sur les données clients des CFF.

La loi est claire, le droit d’accès à ses propres images est garanti par l’article 8 LPD. Pourtant le droit d’accès aux images de vidéosurveillance reste théorique et virtuel. Qu'en est-il dans l’espace publique et privé?

Mélanie Buard, préposée à la protection des données et à l’information du canton de Vaud répond à nos questions. Un dossier de Pauline Vrolixs et Bastien von Wyss.

Markus Stuecklin

Souriez, vous êtes filmé! En Suisse il y a des milliers de caméras de vidéosurveillance. La loi prévoit que vous pouvez avoir accès à vos images. "On en parle" a fait le test à Lausanne:

Par Bastien Von Wyss, recherchiste

Suite à ma demande d’accès à mes données, ma commune va changer sa pratique en matière de conservation des traces de signatures d'initiatives et de référendums.

Chancellerie fédérale

Lors d'un récent repas à la cafétéria de la RTS, un collègue m'a dit: "Moi je ne signe pas d'initiative et de référendum car je n'aimerais pas que, en tant que journaliste, on puisse me qualifier de partisan en connaissant ce que j’ai signé".

Cela pose la question délicate de l'engagement politique des journalistes, mais ce n'est pas le débat ici. A ma connaissance, les journalistes exercent bien entendu leur droit de vote qui reste secret. Pourquoi en serait-il autrement pour les signatures d'initiatives et référendums?

La crainte de mon collègue provient du risque que les signatures d'initiatives et référendums soient révélées, puisque cette procédure démocratique ne se déroule pas à bulletin secret. Les feuilles de signatures circulent au moins auprès de trois acteurs: les comités d'initiatives, les communes et la Chancellerie fédérale.

Doit-on renoncer à un droit politique fondamental (qui se borne à demander que le peuple se prononce sur un objet) au motif que ce risque existe?

Je signe régulièrement des initiatives et des référendums. Je me suis donc intéressé à la conservation de ces données de manière centrale par les administrations.

Quelles traces la Chancellerie fédérale garde-t-elle de mes signatures d'initiatives et référendums? Aucune selon sa rapide réponse:

La réponse de la Chancellerie fédérale.

J'ai fait la même démarche auprès de ma commune, La Chaux-de-Fonds.

La réponse, très détaillée, est intéressante: le contrôle des habitants est chargé de valider les signatures. Il s'agit de contrôler que je possède bien les droits civiques dans la commune et que je ne signe pas une même initiative/référendum deux fois. Selon la réponse de ma commune, les communes neuchâteloises utilisent le logiciel EPIC dans lequel un onglet "civique" permet de gérer cette tâche.

La réponse de la commune de la Chaux-de-Fonds.

La réponse de la commune de la Chaux-de-Fonds.

Dans cet onglet du logiciel, on ne voit donc pas les noms des initiatives signées, mais un numéro à deux chiffres qui renvoie à une liste Excel interne à la commune. Cette dernière répertorie chaque initiative et référendum. On voit rapidement que j'ai 10 signatures enregistrées à mon actif. Toute personne qui met la main sur la liste de la commune pourra savoir lesquelles j'ai signées (raison pour laquelle j'ai caviardé ces numéros en ne laissant visible qu'un chiffre):

Capture d'écran du logiciel EPIC.

Accès à ces données:
La commune m'envoie un tableau complet des services ayant accès à cet onglet "civique". Ce tableau montre que les autres services communaux n'y ont pas accès. En revanche, le service informatique cantonal a accès à tout, à titre d'administrateur du système.

Durée de conservation:
Concernant la durée de conservation, ma démarche citoyenne a un effet intéressant. Désormais, les traces des signatures d'initiatives et de référendums ne seront pas conservées plus que nécessaire:

La réponse de la commune de la Chaux-de-Fonds.

Bonne nouvelle!
Ma commune sera désormais en adéquation avec le guide fédéral sur l’attestation de la qualité d’électeurs (PDF):

Extrait du guide fédéral sur l’attestation de la qualité d’électeurs.

Et dans votre commune, comment ces données sont-elles gérées? Il vous suffit d'envoyer une lettre à votre administration pour le savoir et de partager les réponses que vous obtenez afin de faire progresser notre enquête. Pour ma part, j’ai utilisé la lettre type avec deux petites modifications. J’ai fait référence à la loi de mon canton plutôt qu’à la loi fédérale et j’ai ajouté cette phrase: "Je suis notamment intéressé par les données à mon sujet concernant les signatures d’initiative et référendum".

En cas de question, vous pouvez aussi vous adresser au préposé cantonal à la protection des données de votre canton.

Notons encore l’ouverture exemplaire de ma commune:

La réponse de la commune de la Chaux-de-Fonds.

Par On en parle

Après les révélations de Snowden, après le scandale Ashley Madison, et même après 7 mois d’enquête de notre émission "On en parle", ni la population ni les élus ne semblent se soucier de la protection de nos données personnelles!

A l’occasion de la journée mondiale de la protection des données, ce jeudi 28 janvier 2016, émission spéciale pour faire le point sur notre enquête et débattre de cette question sur La Première. (Ré)écoutez les chroniques de cette émission spéciale:

Pourquoi personne n'a peur du big data?

fotolia - ymgerman

Data mining

fotolia - jakub jirsák

Big data: un réveil des consciences est urgent et nécessaire!

fotolia - ra2 studio

Sondage:

Mais encore:

Ecoutez notre chronique sur "Les atouts et inconvénients du big data"

Rejoignez notre groupe Facebook "Donnez-moi mes données"

Par Xavier Bloch et Henry Buxant, journalistes

Après 7 mois d’enquête ouverte "Donnez-moi mes données", le préposé fédéral ad intérim à la protection des données, Jean-Philippe Walter, évalue les données que nous avons reçues de la part des entités sollicitées.

Globalement satisfaisant, parfois carrément insuffisant, la rencontre avec le préposé démontre que notre enquête a du sens et qu’il faut la poursuivre pour atteindre notre objectif: une totale transparence sur nos données.

Par Henry Buxant, journaliste

Le big data, c’est LE phénomène du moment. Même le Forum de Davos s’y intéresse, puisque l’un des thèmes traité est: "Qu’est-ce que le big data peut faire pour l’économie?"

On en parle, dans le cadre de l’enquête ouverte "Donnez-moi mes données" se pose plutôt la question : qu’est-ce que le big data peut faire pour nous – ou contre nous?

Si aujourd’hui, il semble que ce soit l’économie privée qui profite le plus de cette récolte planétaire de nos données personnelles. Cela pourrait changer si le politique entre dans la danse et s’empare sérieusement de la question des données.

Pour bien comprendre les enjeux pour la confédération, l’OFCOM a mandaté une étude sur le big data, ses atouts, risques et mesures nécessaires pour la Confédération, au laboratoire de recherche sur l’e-gouvernement de la Haute Ecole Supérieure de Berne.

Entretien avec Beat Estermann, chercheur à l’institut pour l’e-gouvernement à la Haute Ecole Spécialisée de Berne.

Fotolia - Mikko Lemola

Par Yves-Alain Cornu, journaliste

Cédant aux insistantes propositions de mise à jour gratuite de Windows 7 vers Windows 10 sur mon ordinateur personnel, j’ai d’abord salué l’ergonomie du système d’exploitation. C’était avant d’écouter les révélations de l’émission On en parle du 18 août 2015 qui faisait état d’une collecte massive de données par Microsoft, jour après jour, dans les ordinateurs du monde entier tournant sous Windows 10, dont le mien.

Déjà peu rassuré, j’apprenais encore que le Préposé fédéral à la protection des données demandait officiellement des éclaircissements auprès de la firme de Redmond (On en parle du 24 août 2015).

Après avoir suivi une marche à suivre pour désactiver les mouchards de Windows 10, j’ai envoyé un premier courrier recommandé le 25 août 2015 au siège de Microsoft Suisse, à Wallisellen. En vertu de la Loi sur la protection des données, j’ai exigé des copies de toutes les données me concernant en la possession de Microsoft, ainsi que des explications sur les usages qui en étaient faits. Le délai maximal de réponse est de 30 jours, selon la loi.

Six semaines plus tard, mon premier recommandé étant resté lettre morte, je suis passé à l’étape suivante qui consiste à la mise en demeure de Microsoft, avec un ultimatum fixé au 30 novembre 2015. C’est mon droit. Mais le géant distributeur de Windows n’a entrouvert aucune porte, pas même une fenêtre. Microsoft Suisse semble manifestement vider sa corbeille sans passer par l’option répondre.

Alors que faire, cinq mois après ma demande d’accès à mes données? Lorsqu’une entreprise ne daigne pas se plier à l’exercice de la loi, le consommateur se retrouve bien seul. Qui plus est lorsque l’entreprise concernée a sa maison mère à l’étranger. A en croire Sylvain Métille, avocat expert de la question interviewé le 11 janvier 2016 toujours dans On en parle, ma seule option consiste à ouvrir une action en justice que j’imagine longue et coûteuse. Tout ceci pour obtenir une simple réponse, probablement négative de surcroît, sachant que mes données sont peut-être traitées par Microsoft USA et non Microsoft Suisse. Auquel cas je devrais déposer une plainte pénale et informer le procureur de Californie.

Seul contre Microsoft USA: pas très encourageant pour le simple utilisateur, aussi sensible soit-il à la protection de sa sphère privée. Si la loi fédérale sur la protection des données légitime les demandes des citoyens, elle ne fournit pas les aides nécessaires de la part des autorités compétentes. Fatal Error.

Le recommandé envoyé à Microsoft Suisse.

Cette enquête ouverte est LA VOTRE! On vous le répète depuis son lancement.

Voilà quelques exemples qui ont marqué notre enquête ces six premiers mois :

> Des communes vendent nos données … aux banques et aux politiques

La BCV envoie de la publicité aux nouveau-nés, grâce à des communes vaudoises.

Et il arrive aussi que nos précieuses données privées soient vendues à des partis politiques ou à des politiciens en campagne (40 cts l’adresse!).

• Lire: Mais qui sait que je suis papa? La suite de l'enquête nous mène à la fondation BVA

• Lire: Les partis obtiennent votre adresse auprès de votre commune!

> Les écoles ne sont pas forcément de bons élèves

Une rose pour le canton de Neuchâtel qui permet à tous les parents d’accéder en ligne aux données scolaires de leurs enfants.

>> Lire : Les données scolaires sous la loupe

> La police fédérale (FEDPOL) joue la transparence.

Le juriste François Charlet obtient facilement ses données auprès de l'Office fédéral de la police et les publie sur son blog.

Imitez-le, il suffit d’envoyer un mail!

>> Lire : FEDPOL: un email suffit! (en fait, deux)

> Nos données personnelles circulent… et c’est pour mieux nous tromper!

Un courtier en assurance qui vous appelle en connaissant votre police… pour vous en proposer d’autres.

• Nous avons enquêté. Lire ici.

> La protection des données fait des bulles

Nous avons découvert la BD du préposé genevois à la protection des données. Didactique, sympa, truffée de bons conseils.

>> Lire : Une BD pour connaître le droit en protection des données

> Que font les entreprises de nos données?

Certaines demandes d’accès montrent que les entreprises nous segmentent, parfois avec des adjectifs créatifs, à l’image des CFF qui vous décrivent comme "pionniers" ou "infatigables" dans leur base de données.

>> Lire : On nous segmente!

Bilan 2015 de l'enquête ouverte #mesdonnees.

Par Henry Buxant, journaliste

Après 7 mois d’enquête et d’innombrables demandes, "On en parle" pose la question du "Comment faire après une fin de non-recevoir dans la quête des données personnelles?". Le droit suisse s’applique-t-il de la même manière aux sociétés basées à l’étranger, mais actives dans notre pays? Quelles instances saisir et à quel prix?

Henry Buxant s’intéresse au for juridique de la conquête des données avec Sylvain Métille, avocat spécialiste de la protection des données.

fotolia - gianfranco bella

Par Philippe Girard, producteur

Dossier envoyé par Amazon.

Amazon m’envoie enfin des réponses complètes (cf. article du 13 novembre 2015 Les données d’Amazon interdites). Pour mémoire, il manquait à son envoi les références de tous les articles que j’avais commandés sur la plateforme de vente en ligne. Après un échange rocambolesque, Amazon m’a finalement fourni les réponses demandées.

Un CD vierge

Mais pour les obtenir, on aurait aimé voir le même zèle qu’Amazon met pour nous envoyer ses produits! Chronologie.

- 4 novembre: j’envoie une lettre à Amazon pour dire mon étonnement de ne pas voir figurer, dans les données reçues, les références des articles commandés. J’y relève également qu’on n’a pas répondu à mes questions sur l’utilisation et la transmission éventuelles à des tiers de mes données.

- 27 novembre: Amazon m’envoie un nouveau CD crypté, avec des excuses:

Excuses d'Amazon.

Problème: le CD en question est vierge!

- 9 décembre: je renvoie le CD à Amazon en expliquant le problème.

- 11 décembre: téléphone du service-client d’amazon.fr, qui me demande "les motifs de mon insatisfaction". La personne semble confondre mon envoi avec le renvoi d’un produit défectueux ou inadéquat. Je lui explique la situation. Elle me promet de faire le nécessaire.

- 16 décembre: nouvel envoi, nouveau CD crypté – et cette fois-ci avec les données des références des articles commandés – qui s’ajoute au listing (comme si, au premier envoi, on avait oublié de cocher la case correspondante):

Données des références des articles commandés chez Amazon.

Au passage, Amazon répond aussi à mes questions quant à la transmission de données à des tiers:

Réponses d'Amazon sur la transmission de données à des tiers.

En fait, cet extrait – introuvable sur internet – semble issu d’anciennes dispositions, mises à jour depuis. Les informations actualisées sur la protection de nos données personnelles sont ici mais sont déjà obsolètes, puisqu’elles font allusion à l’accord Safe Harbor qui a été invalidé le 6 octobre 2015 par la Cour de justice de l’Union européenne (communiqué de la Commission nationale de l’informatique et des libertés à ce sujet).

Si les indications relatives à ce que ne fait pas Amazon ("ne vend pas, ne commercialise pas...") ont disparu de la nouvelle mouture, celles sur ce qu’Amazon fait de nos données sont plutôt bien détaillées et illustrées par des exemples. Reste à savoir si ces engagements se concrétisent dans les faits.

Propos recueillis par Philippe Girard, producteur

Mettre tous les géants du web, les GAFA (Google, Apple, Facebook, Amazon), dans le même panier peut faire oublier que les intérêts de chacun à l’égard de nos données personnelles peuvent différer selon le business model. Un auditeur, Jean-Philippe Pellet, formateur à l’Unité Médias et technologies de l’information et de la communication de la Haute école pédagogique vaudoise, également chargé de cours à l’EPFL, a attiré notre attention sur ce détail.

OEP: Pourquoi n’est-il pas correct selon vous de mettre Google, Apple, Microsoft, Amazon et Facebook dans le même panier en matière de protection des données ?

JPP: Ces sociétés ont des business models différents. Leur chiffre d’affaires et leurs profits proviennent d’activités différentes. Les mettre tous dans le même panier, c’est ignorer les spécificités des uns et des autres de façon générale et, plus particulièrement, en ce qui concerne la récolte de données, leur intérêt à faire effectivement cette récolte ou à la monétiser (par exemple, en revendant les données récoltées à d’autres entreprises).

OEP: Dès lors, qu’est-ce qui les différencie?

JPP: Distinguons d’abord plusieurs types de données:

- Les données de type "diagnostic", qui sont récoltées à l’intention des équipes techniques. Il s’agit de renseignements sur la configuration matérielle d’une machine et sur l’état logiciel dans lequel il se trouve à un moment donné. Lors du crash d’une application ou du système, ce genre de données peut être récolté (anonymement, la plupart du temps) pour aider les développeurs à mieux comprendre les circonstances d’un crash dans le but de pouvoir le corriger plus facilement. En principe, il n’y a pas de risques majeurs à partager ce type de données.

- Les données personnelles à proprement parler: noms, âge, adresse postale, adresses email, liste de contacts; puis nos productions: documents, images, vidéos, etc. Ces données sont bien sûr sensibles. Mais nous connaissons leur teneur et avons, la plupart du temps, l’occasion de contrôler qui y accède et pourquoi (même si ça peut demander une certaine connaissance technique).

- Les données générées par notre activité en ligne, nos traces numériques. Elles sont générées automatiquement par l’activité que nous avons sur les réseaux sociaux pour la partie la plus visible, mais également sur tous les sites sur lesquels nous avons un "profil" ou "compte d’utilisateur", ou qui ont des systèmes de "tracking". Elles nous sont invisibles et il nous est difficile de les contrôler. Elles sont très utiles pour repérer nos intérêts et habitudes, surtout lorsqu’elles sont croisées avec des données personnelles.

OEP: Venons-en aux business models de nos "usuals suspects". Qu’est-ce qui caractérise chacun?

JPP: On peut les caractériser ainsi - mais notez que ceci est une description assez grossière de l’activité de ces sociétés et ne rend pas justice à toutes les particularités de chacune:

- Google vend très peu de hardware et propose des services majoritairement gratuits. Son moyen de financement, c’est la pub, et la récolte de données leur est absolument centrale pour afficher des publicités pertinentes. Lors de la dernière année, presque 90% du chiffre d’affaires de Google venaient de la pub (59 milliards de dollars sur 66 - source). Mieux Google nous connaît - nos habitudes, nos centres d’intérêt ou, si on ne nous connaît pas beaucoup, les centres d’intérêt de nos contacts proches (qui sont probablement les nôtres aussi) - plus Google nous affichera des publicités pertinentes. Pour les annonceurs, le modèle le plus commun est de payer Google au nombre de clics faits sur leurs annonces: Google a donc bien sûr intérêt à tout mettre en œuvre pour nous afficher des publicités qui correspondent à nos intérêts. Ces données ne sont pas utilisées uniquement pour la publicité: Google nous affiche aussi des résultats de recherche d’autant plus pertinents que le système a déjà une idée de ce qui va probablement nous intéresser ou pas.

- Facebook, situation similaire. Sur un chiffre d’affaires de 12.5 milliards de dollars en 2014, plus de 90% (environ 11.5 milliards) viennent de la publicité (source). C’est une connaissance approfondie de nous, les utilisateurs, qui permet à Facebook de proposer aux annonceurs de faire de la pub de manière extrêmement ciblée. Gérer le plus grand réseau social au monde est évidemment un avantage de taille: nous y "likons" des choses, commentons des posts, interagissons avec nos amis sur certains thèmes, et toute cette activité est analysée automatiquement par des algorithmes qui, comme chez Google, font afficher des annonces publicitaires qui correspondent à notre profil tel que déterminé par notre activité. Là encore, si l’on a un compte Facebook sans y être très actif, l’activité de ses contacts est un très bon indicateur sur qui l’on est - la majorité de nos amis sont des gens qui nous ressemblent dans les grandes lignes.

- Amazon est à la base un gros revendeur: son chiffre d’affaires de 2014 est de 89 milliards de dollars (source). Amazon a en principe moins de données sur nous que Google, mais les données qu’ils ont sont potentiellement plus précises. Ils savent non seulement ce que nous avons cherché, mais aussi ce que nous avons acheté (et, si nous laissons des commentaires, ce que nous en avons pensé). Amazon ne donne pas le détail de son chiffre d’affaires en indiquant quelle part vient de la publicité, ce qui est dommage. Mais on peut s’imaginer que la majeure partie se fait sur la boutique en ligne plutôt que par la publicité. Bien sûr, dans ce contexte, l’historique des recherches et des achats est très important en ce qu’il permet, selon les mêmes principes qu’évoqués précédemment, de nous proposer des produits qui correspondent à nos goûts et à nos centres d’intérêt tels que déduits de notre activité passée.

- Microsoft - 87 milliards de dollars de chiffre d’affaires en 2014 (source) - fait une partie de ce chiffre dans le hardware (en vendant du matériel), et une partie beaucoup plus importante dans le software. On parlait récemment de la problématique de la récolte de données par Windows 10. Contextualisons: les systèmes d’exploitation d’Apple (OS X, iOS) et Linux sont gratuits. Or, rendre Windows 10 gratuit pour concurrencer les autres systèmes, c’est se priver pour Microsoft d’une manne importante. D’où la récolte de données personnelle et la monétisation de celles-ci auprès de partenaires pour compenser le manque à gagner. Ceci représentait cependant moins de 5% de son chiffre d’affaires total en 2014 (environ 4 milliards de dollars) - chiffre qui va certainement significativement changer avec la politique appliquée pour Windows 10.

- Apple, de son côté, fait 90% de son chiffre d’affaire sur le hardware (165 sur 183 milliards de dollars pour son année fiscale 2014 - source). Apple se permet de proposer une partie significative de sa logithèque gratuitement, et pour cause: cela fait vendre le hardware. C’est ça le cœur du business model d’Apple, qui n’a pas un grand intérêt à récolter ou à monétiser les données personnelles. Au contraire, la sécurité du revenu hardware lui permet de mettre en place des mesures supplémentaires pour la protection de données personnelles. Les achats de hardware (un Mac, un iPhone, un iPad pour Apple) sont plus importants et se font moins fréquemment que pour la majeure partie de l’assortiment d’Amazon: il importe donc davantage de fidéliser le client à long terme pour que dans 3, 4 ou 5 ans, il achète à nouveau Apple, plutôt que de chercher à lui proposer à chaque visite des articles qui correspondent à son profil particulier.

OEP: Quel business model - et donc quelle société - représente le plus de risques pour nos données personnelles?

JPP: Un business model risqué pour l’utilisateur est celui qui rend une société dépendante de la collecte et de la revente de données personnelles et de données générées par notre activité en ligne. Si nous pouvons, dans certains cas, plus ou moins savoir ce que fait une grosse société avec nos données (et encore), nous n’avons plus aucun contrôle sur ces données une fois transmises à des tiers, potentiellement inconnus.

Un modèle quelque peu moins critique est celui dont un des principes est la collecte des données dans un but de vente interne à l’entreprise, sans transmission à des tiers.

Finalement, un business model qui s’assure que la majorité du chiffre d’affaires et des profits ne dépend pas d’une exploitation des données sera assurément l’argument le plus crédible lorsqu’une société vous assure ne pas collecter ou exploiter vos données personnelles.

Mark Zuckerberg, président-directeur de Facebook, n'a pas été épargné par le problème technique.

Par Philippe Girard, producteur

"Je vous envoie un Doodle!" La plateforme de planification de rendez-vous et de sondage en ligne, fondée à Zurich en 2003, est presque entrée dans le langage courant. Mais depuis qu’elle est intégralement en mains du groupe Tamedia (depuis novembre 2014), qu’en est-il des données récoltées et de leur protection?

La question est évoquée dans notre émission du 27 octobre 2015 sur les logiciels libres. Pierre Yves Gosset, délégué général de Framasoft, émet deux réserves à l’égard de Doodle: sa relation commerciale avec Google, à qui Doodle confie ses espaces publicitaires, et le risque d’un rachat ultérieur de Doodle par un géant américain qui mettrait en péril la protection des données récoltées par Doodle.

Grand utilisateur de Doodle, ces considérations me donnent immédiatement l’idée d’"inviter" la société zurichoise à me donner mes données. Pas besoin de Doodle pour ça! Une lettre recommandée, et hop! La demande est expédiée.

Quelques jours plus tard, je reçois un mail de Doodle qui me demande de confirmer, par retour de courriel, que mon adresse mail est bien la mienne. Je m’exécute sur-le-champ.

Deux jours après, je reçois la lettre suivante :

La lettre de Doodle adressée à Philippe Girard.

Lettre accompagnée desdites données "exhaustives et correctes", à savoir 11 pages de ça:

Les données transmises par Doodle à Philippe Girard.

… des lignes de codes incompréhensibles, où apparaissent çà et là, les prénoms des participants au sondage, leur remarque ou l’objet du sondage. Une écriture que seul un système informatique peut décoder.

Dans un précédent article sur Amazon (13 novembre 2015), je me demandais si le vrai détenteur de nos données n’était pas la machine, et non l’humain. Doodle semble me donner la réponse.

Autre particularité: seuls les sondages actifs y apparaissent, ce qui laisse penser que Doodle ne mémorise pas les sondages effacés. Or, à une collègue, qui avait précisément posé la question de la conservation des données, Doodle lui avait répondu ceci: "Wir löschen die Daten zwar aus der Applikationsdatenbank, aber archivieren diese für spätere Analysen (Nous effaçons certes les données de la base de données de l’application, mais nous les archivons en vue d’analyses ultérieures)". Données "exhaustives et correctes", vraiment? Il m’est permis d’en douter!

Finalement, la réponse de Doodle est-elle satisfaisante du point de vue du droit? Une entreprise qui détient des données personnelles sur nous peut-elle se contenter d’un simple "print" de lignes de code? Peut-elle taire la façon dont elle traite, archive, croise, analyse nos données et ce qu’elle en extrapole? Ces questions méritent d’être posées. Et nous ne manquerons pas de les adresser au Préposé fédéral à la protection des données.

Fiche d’inscription, listes d’élèves, examens trimestriels, notes et moyennes, l'école publique en regorge de données. Mais à qui appartiennent-elles et comment sont-elles stockées? C'est ce que nous explique Xavier Bloch.

pressmaster

Un papa reçoit de sa banque un bon-cadeau l'invitant à ouvrir un compte épargne au nom de son enfant peu après la naissance de ce dernier. Sur ce compte, la banque s'engage à déposer la somme de CHF 40.-. L'intention est plutôt sympa, mais comment la banque est-elle au courant que l'un de ses clients est papa? A-t-elle analysé les transactions de son compte? L'hôpital a-t-il transmis des données sur les jeunes parents? L'enquête nous mène sur la piste de la fondation BVA qui réalise des opérations de marketing direct. Sacha Horovitz a rencontré Marc Pierson, directeur de la fondation BVA à Lausanne.

RTS - Sacha Horovitz

Lire le début de cette enquête

Lire la suite de cette enquête ici (réponse de la BCV)

Par Xavier Bloch, journaliste

Je suis un privilégié. Je possède la carte MyOne, la carte rouge, la carte du groupe Manor. J’ai donc demandé mes données au groupe bâlois. C’est mon droit.

Le 4 octobre, j’envoie ma lettre sous pli recommandé. Dans les délais légaux, le service client de MyOne me répond. Deux pages pour m’expliquer que la base de données clients respecte les normes fédérales. Mais pas trace de mes données!

Je décide d’appeler le service client de MyOne. Pas moyen de parler à un responsable sans m’identifier. Nom, prénom, numéro de carte, adresse, date de naissance. Un processus OBLIGATOIRE répété méthodiquement à chacun de mes appels.

Un responsable du service client m’explique alors qu’il ne comprend pas ma demande! Problème de langue? Peut-être. Alors je répète et j’articule:

- Donnez-moi mes données!

- Ah, oui, mais on a toutes vos données, Monsieur!

- Eh bien justement, envoyez-moi une copie de mon dossier!

- Avec plaisir monsieur, ça sera fait dans la semaine!

MyOne a tenu parole! Quelques jours plus tard je reçois un nouveau courrier: une nouvelle lettre personnalisée de deux pages. On m’explique en détails dans quels fichiers atterrissent MES données et à qui elles sont transmises. Mais pas trace de ma fiche personnelle. J’appelle une nouvelle fois le charmant responsable du service client:

- Donnez-moi mes données!

- Ah oui, mais… on vous a tout donné cette fois-ci!

J’ose la question impertinente:

- Avez-vous un service juridique? Peut-être faudrait-il lui soumettre ce cas?

- Ah oui… ça sera fait. On vous écrit dans la semaine. Promis!

Depuis, plus rien. Silence MyOne!

J’hésite. Appeler le service juridique de Manor ou résilier ma carte rouge? Que faire pour avoir accès à mes données de client? Attendre…

Au bout de 8 semaines d'attente, Xavier Bloch a enfin reçu ses données de MyOne.

Jeudi 19 novembre 9h45, le téléphone sonne. Au bout du fil… MyOne. Encore! Le service client m'annonce cette fois avoir retrouvé mes données. Ouf! Au bout du fil, la jeune femme s’excuse pour ce retard et m’annonce l’arrivée imminente d’une grosse enveloppe blanche.

Mardi 24 novembre à 11h, le facteur vient de passer et l’enveloppe est là. Wouah!

A l’intérieur: ma fiche client ainsi qu’une copie de tous mes achats effectués avec ma carte MyOne depuis… 2011. Quinze pages!!

Huit semaines que j’attends mes données!

MyOne - Infos complémentaires.

Par Didier Bonvin, journaliste

Le nouveau système d’exploitation de Microsoft, Windows 10 fait débat. Windows 10 collecte des informations sur les utilisateurs à des fins publicitaires. C'est expliqué clairement sur leur site: "Les données que nous collectons peuvent inclure votre nom, votre adresse de messagerie, vos préférences et centres d'intérêt, votre emplacement, l'historique de votre navigation, de vos recherches et de vos fichiers, les données de vos appels téléphoniques et SMS, les données de configuration des appareils et des capteurs, les informations entrées sous forme vocale, textuelle ou manuscrite, ainsi que l'utilisation des applications". Microsoft ne cache pas ses buts marketing: "Nous utilisons les informations sur vos centres d'intérêt pour mieux adapter le contenu et les annonces que nous vous présentons".

Attention dès lors à bien paramétrer votre PC. Certains spécialistes affirment qu'une fois bien configuré, Windows 10 ne poserait pas de problème pour vos données privées. D'un autre côté, les recommandations officielles nous indiquent de ne pas installer Windows 10, par principe de précaution.

Ecoutez notre débat autour du nouveau système de Microsoft, avec Sébastien Fanti, préposé cantonal valaisan à la protection des données et Bruno Kerouanton, chef du Groupe de Compétences Sécurité pour le service informatique du canton du Jura, au micro de Didier Bonvin. Et écoutez nos précédentes chroniques sur le même sujet en passant par la page de l'émission.

Logo officiel

On appelle cela le "cross device". Les annonceurs peuvent afficher une pub pour des souliers sur votre smartphone alors que vous avez consulté un site de souliers sur votre ordinateur de bureau le soir précédent.

Comment l’annonceur sait-il qu’il s’agit bien de vous? Estelle Werth, de la société CRITEO, l’explique au micro de Pauline Vrolixs.

PHILETDOM

Par Philippe Girard, producteur

Demander ses données au géant américain de la vente en ligne réserve des surprises - mais pas celles que l’on croit. J’ai récemment reçu les miennes, réclamées auprès d’Amazon Europe Core basé à Luxembourg.

Fin octobre, je reçois un premier courrier recommandé, contenant un CD-Rom, accompagné de la lettre suivante:

Le courrier d'Amazon à Philippe Girard

Et le lendemain, je reçois effectivement un autre courrier, recommandé lui aussi, avec la clé de déchiffrage de mon CD-Rom. "Voilà une prudence d’excellente augure!" me dis-je, pensant découvrir des données sensibles et exhaustives.

Que pouic! Le CD-Rom ne contient que deux fichiers. Dans le premier, mes "données personnelles" se réduisent à mes coordonnées privées (e-mail, adresse postale, numéro de carte de crédit tronqué, adresse des destinataires à qui j’ai envoyé des commandes en cadeau), suivi d’une liste de "Commandes/Transactions" ou aucune, mais alors aucune mention du produit acheté n’apparaît (titre de livre ou de DVD). Seul le prix, la date d’achat, le moyen de paiement utilisé et un numéro de commande y figurent:

Les fichiers des données d'Amazon (1)

L’autre fichier, encore plus laconique, tient sur une page et ne contient qu’une liste d’adresse IP correspondant visiblement aux opérateurs téléphoniques qui ont relayé mes commandes effectuées sur smartphone.

Les fichiers des données d'Amazon (2)

Moi qui m’attendais à en savoir un peu plus sur le profilage des clients ou sur l’algorithme d’Amazon qui permet au site de suggérer des "Recommandations pour vous", quelle déception! Sans compter qu’Amazon ne répond pas à mes questions sur qui a accès à mes données et sur l’éventuelle transmission de ces données à des tiers.

J’ai écrit une nouvelle lettre en recommandé pour obtenir des éclaircissements sur ces points - sans réponse à ce jour. Mais peut-être que je me pose les mauvaises questions? Et si, plutôt que de demander "qui", il fallait demander "quoi"? Et si la machine était le véritable détenteur de nos données? Et si le but ultime était de se passer des personnes - puisque seules les personnes sont soumises à la loi? Amazon pousse d’ailleurs à son maximum l’automatisation des envois (notamment par drones).

Indice symptomatique: la lettre d’Amazon est signée d’un trait de stylo. Mais aucun nom n’apparaît.

Par Pauline Vrolixs, journaliste, et Bastien von Wyss, recherchiste

Comprendre le mécanisme du tracking publicitaire sur internet, c’est ce que propose entre autre notre enquête ouverte "Donnez-moi mes données!".

Nous avons eu accès, par l’intermédiaire d’un auditeur participant à notre enquête collaborative, à l’entier de ses données détenues par une société de tracking publicitaire: Criteo.

Notre auditeur est à ce jour la seule personne ayant eu accès à l’entier de son dossier suite à une demande, basée sur le Safe Harbor. Ecoutez l'interview d'Estelle Werth, spécialiste vie privée chez Criteo:

psdesign1

L'émission du 15 octobre 2015 explique en détail le fonctionnement du ciblage publicitaire et les risques potentiels de cette récolte de données. Vous y entendrez également le témoignage de cet auditeur.

Penchons-nous maintenant en détail sur le document reçu par l’auditeur:

Le fichier excel comprend plus de 4000 lignes. Sur la première feuille ("events"), on voit une liste de chaque produit visualisé par l’internaute sur les sites partenaires de Criteo.

Ici, par exemple, des produits sur les site de Manor, Ricardo et La Redoute:

Les données envoyées par Criteo à un de nos auditeurs (1)

En regardant les liens ci-dessus on peut déduire facilement que notre auditeur à par exemple, des enfants. Un indice supplémentaire pour de la publicité ciblée.

Ensuite, sur une feuille "displays", on voit que les publicités affichées sur Facebook par Criteo l’ont été sur mandat de Ricardo, Manor ou La Redoute. Ces publicités sont sélectionnées en tenant compte de produits visualisés plus haut.

Les données envoyées par Criteo à un de nos auditeurs (2)

Et enfin, Criteo enregistre (sur une feuille "clicks") les clics de l’internaute sur les publicités, facturés, selon le produit concerné, de quelques centimes à 1 euro le clic. Ici, l'internaute a cliqué, sur Facebook, sur une publicité de Ricardo:

Les données envoyées par Criteo à un de nos auditeurs (3)

Si vous aussi, vous voulez l’accès à votre "dossier Criteo", cliquez ici.

Et si vous voulez simplement une petite démo, voyez ici.

Par On en parle

A la suite des interrogations de Julien Schekter sur une publicité reçue pour la Banque cantonale vaudoise (lire ici), voici les explications du service du presse de la BCV:

La réponse du service de presse de la BCV.

Notre attention se porte donc désormais sur le BVA (bureau vaudois des adresses) et son fonctionnement.

Voir les résultats de notre enquête sur le BVA: Les données de 70% des Vaudois sont transmises par leur commune à des fins de publicité ciblée (14 mars 2016)

Par Yves-Alain Cornu, journaliste

Comment des courtiers en assurances accèdent aux informations des assurés? Notre enquête.

fotolia - ad_stock

Par Pauline Vrolixs, journaliste

Pourquoi reçoit-on à la maison des tracts politiques adressés à notre nom? Comment notre adresse est-elle connue des partis? Notre enquête sur ce mécanisme peu connu.

Les communes, sous certaines conditions, sont libres de communiquer ou vendre des informations sur ses habitants, notamment à des groupements à but politique ou au profit d’associations.

Autrement dit, en période électorale, les présidents de sections des différents partis politiques s'adressent aux communes pour obtenir un registre des électeurs, généré par le contrôle des habitants (informations fiables et actualisées). Parmi plusieurs conditions, les fichiers doivent être effacés après le scrutin.

Les partis peuvent obtenir les listes d'électeurs, si les communes y consentent, dans tous les cantons, sauf à Fribourg où le registre des électeurs est accessible pour en vérifier l'exactitude mais pas pour la communication des partis politiques.

Autour de 40 centimes l'adresse

Quand une commune décide de ne pas transmettre les adresses, les partis politiques qui veulent envoyer un courrier aux habitants ont recours à des sociétés tierces pour les trouver. Par exemple avec la Fondation BVA (bureau vaudois des adresses) qui, avec l’aide d’autres sociétés (Arvato AZ direct dans notre cas), est à même d’envoyer du courrier aux habitants de toutes les communes suisses.

Selon les informations de la RTS, il faudrait débourser autour de 40 centimes pour acheter une adresse. Les partis politiques en période électorale ne rechignent pas à débourser des sommes importantes à cet effet, comme nous l’a confirmé la PLR.

Que faire pour protéger ses données?

Dans le canton de Vaud, il est possible de déposer une demande auprès du contrôle des habitants de votre lieu de domicile pour empêcher une transmission des adresses à la fondation BVA. Parallèlement, les personnes ayant une profession exposée peuvent déposer une "demande de confidentialité" afin d'empêcher toute transmission de données personnelles par la commune.

Dans les autres cantons, les usages varient selon les communes.

fotolia - Gina Sanders

La nouvelle sur RTSinfo.ch

Par Julien Schekter, producteur

C’est un moment magique de devenir papa. Un moment qu’on a envie de partager bien sûr! Avec sa famille, ses proches, ses collègues aussi... Mais avec sa banque? En vous racontant cette histoire, évidemment je le dis à un grand nombre d’internautes, mais l’enjeu... en vaut peut-être la chandelle.

Car c’est ce qui m’est arrivé. J’ai reçu ceci dans mon courrier de la part de la Banque Cantonale Vaudoise:

Bon-cadeau de la BCV.

Un cadeau sympa de ma banque, à première vue... Et puis une question me vient: mais comment diable ma banque sait-elle, moins de deux mois après la naissance de mon enfant, que je suis papa? Je ne suis pas particulièrement parano, mais je n’arrive pas à trouver une explication logique... Analysent-ils mes données d’achat? Ont-ils un contrat avec l’hôpital? Avec les autorités? Est-ce que quelqu’un a vendu cette information à ma banque à des fins de marketing? Ma curiosité est piquée, j’écris un mail sécurisé à la BCV.

2 semaines plus tard, sans réponse de leur part, je me décide à appeler le service clientèle et on me dit qu’on va rechercher mon mail... Je reçois dans la journée la réponse suivante:

Courrier de la BCV.

Etonné par cette réponse et d’apprendre que n’importe qui peut connaître les naissances de sa commune, et aussi assez dubitatif sur le fait qu’un employé de la BCV appelle toutes les communes vaudoises tous les matins pour croiser les noms des naissances avec les noms des clients, j’écris à ma commune pour vérifier cette information. Ma commune me répond dans la journée et de manière très détaillée. Je suis agréablement surpris du service... mais mes doutes se confirment:

Courrier du contrôle des habitants d'Epalinges.

Fort de ces informations, je réécris à ma banque en leur disant que je voudrais cette fois vraiment en savoir plus sur la manière dont ils ont obtenu cette information, puisque ma commune réfute leur première explication. Et voici la réponse:

Courrier de la BCV.

Il y a donc bel et bien un contrat, en tout cas selon la Banque Cantonale Vaudoise! Voilà ce que ce petit exercice m’a permis de découvrir et vous pensez bien que je vais vouloir en savoir plus! Que dit ce contrat? Quelles autres informations sont échangées entre nos autorités communales et la banque? Quelqu’un gagne-t-il de l’argent sur la vente de nos données personnelles?

Est-ce que VOUS, qui me lisez, en savez davantage? Avez-vous des réponses ou des documents à nous apporter? Avez-vous eu la même expérience dans ce domaine ou un autre? N’hésitez pas à participer à notre enquête!

Et je vous tiens bien sûr au courant des recherches que nous poursuivons de notre côté!

Voir la réponse de la BCV

Par Didier Bonvin, journaliste

Robin Prudent, journaliste à Rue89, a demandé ses données à Airbnb. Résultat: 99 pages A4 de données personnelles. Il répond au micro de Didier Bonvin et explique ses démarches.

Keystone - Gaetan Bally

Par une collaboratrice d'On en parle

Curieuse de savoir quelles informations sont notées et conservées lors d'une hospitalisation, j'ai demandé le dossier médical de mon accouchement auprès d'un hôpital romand.

La formulation des lettres-types à disposition me paraissait trop formelle et abrupte. J'ai donc rédigé une lettre (ci-joint) demandant mon dossier pour le séjour hospitalier en question que j'ai envoyé par email en joignant une copie de ma carte d'identité. La démarche a été suffisante, puisque après un accusé de réception de mon courrier, j'ai reçu gratuitement la copie de mon dossier médical par recommandé dans le mois qui a suivi.

La quarantaine de pages du dossier détaille de manière chronologique le déroulement de mon séjour, de l'entrée à la sortie de l'hôpital. Le dossier contient: un résumé du suivi de grossesse transmis par mon médecin traitant, les résultats des tests de laboratoires, les constatations factuelles du personnel médical en chambre (rapport de soin), les détails du traitement et des gestes médicaux effectués durant l'accouchement (avec graphiques), les notes manuscrites et informatiques du personnel soignant, la feuille de suivi transmise à la sage-femme indépendante à ma sortie, etc. Un dossier donc très complet, conformément au droit du patient d'accéder à son dossier et conformément à la loi sur la protection des données qui permet à une personne de savoir quelles données la concernant sont enregistrées.

Du point de vue de notre enquête, l'accès aux données est donc garantit dans ce cas précis. Reste la question – en suspens – de savoir si ces données sont transmises à des tiers, et si oui, à qui. Autre question: les données concernant mon enfant s'arrêtent juste après sa naissance. Mon dossier contient uniquement la date, l'heure, le poids, la taille, le sexe de l'enfant et son résultat au test d'Apgar. Il serait donc intéressant de prolonger l'enquête en demandant le dossier médical du nouveau-né durant son séjour à l'hôpital. A propos du dossier médical de ses enfants.

Enfin, d'un point de vue personnel, je suis contente d'avoir entrepris cette démarche. Au travers de ce compte-rendu factuel très précis, c'est tout cet évènement que j'ai pu revivre et même des zones un peu floues du déroulement de l'accouchement que j'ai pu éclaircir. J'ai d'ailleurs recommandé à une amie de faire cette même demande suite à son accouchement.

Lettres-type de demande d'accès à son dossier médical:

Modèle d'On en parle - WORD

Modèle d'On en parle - PDF

Modèle du PFPDT - WORD

Modèle du PFPDT - PDF

Par Pauline Vrolixs, journaliste, et Bastien Von Wyss, recherchiste

Vous l’avez peut-être vécu: vous visitez un site de vente en ligne, cliquez sur quelques articles, des chaussures en l’occurrence. Lorsque vous visitez une autre page qui n’a rien à voir, des publicités pour des chaussures s’affichent. C’est le principe de la publicité ciblée opérée par la société CRITEO qui peut tracer les comportements des internautes sur internet.

Cette technique marketing questionne la protection des données et le respect de la vie privée. Nous avons suivi un auditeur d’On en parle dans sa requête de données auprès de différentes sociétés pratiquant le ciblage publicitaire et avons interrogé un des leaders du domaine.

Un sujet de Pauline Vrolixs et Bastien Von Wyss dans le cadre de l’enquête ouverte #mesdonnées.

Blobbotronic

Pour éviter le ciblage publicitaire, il existe différentes solutions en fonction par exemple du choix du navigateur utilisé et de ses réglages. Ce site européen, par exemple, permet de bloquer les cookies.

Concernant les transferts de données de la société CRITEO, en écho avec la récente décision de la Cour Européenne de suspendre l’accord

"Safe Harbor", Estelle Werth (Global Privacy Officer chez CRITEO) précise que les données d’utilisation des internautes européens sont stockées en Europe, ceux des américains aux USA. Par conséquent, la société ne se questionne pas à ce sujet mais dit suivre le dossier de très près.

La société CRITEO existe depuis 10 ans, a connu un développement fulgurant ces cinq dernières années, emploie près d’un millier de personnes à travers le monde, elle est entré en bourse en 2012 et pèse entre 2 à 3 milliards de dollars. Nous en sommes en droit de nous questionner: chaque nouvel internaute va-t-il générer du profit en faveur de CRITEO et des autres sociétés de ciblage publicitaire?

La réponse est oui. Bien sûr, tout dépend du comportement de navigation de l’utilisateur. Mais si, comme l’internaute lambda, il clique sur n’importe quel site, spécialement sur les sites de voyages, les sites de petites annonces ou ceux d’e-commerçants, son comportement va générer du revenu pour des tiers.

Internet, cloud, applications, logiciels, webcam... Dans un quotidien largement numérisé, il est important de savoir comment protéger sa sphère privée et ses données personnelles. On en parle a ouvert son guichet à toutes les questions des auditeurs et internautes sur les bonnes pratiques numériques à adopter pour ne pas être espionné ou "espionnable"! Avec les spécialistes Sébastien Schopfer, formateur d’adultes dans les nouvelles technologies, et Alexis Roussel, ex-président du Parti pirate suisse.

Après 100 jours d'enquête sur nos données personnelles nous faisions le point mercredi passé. Encore beaucoup d'interrogations, de soupçons, de questionnements, heureusement, notre enquête sera longue! Et on a toujours besoin de vous! Critiquez, proposez, participez aussi, nous avons des missions pour vous si vous voulez nous aider!

Par Bastien von Wyss, recherchiste

Bien décidé à demander mes données personnelles de vidéosurveillance, soit les images sur lesquelles je figure, j'ai tenté de les obtenir auprès d'une commune et d'une compagnie de transport.

Dans les deux cas, aux alentours des caméras de surveillance, j'ai trouvé un numéro de téléphone qui m'indique qu’il suffit d’appeler pour obtenir les renseignements sur la protection des données. Mes deux appels ont abouti à la même question de la part de mes interlocuteurs: "Pour quelle raison voulez-vous voir vos images?"

J'ai simplement dit que je voulais accéder à mes données personnelles, comme la loi le prévoit. Dans un cas comme dans l’autre, on m'a dès lors gentiment expliqué que si je n'avais pas une bonne raison d'accéder à mes images, on ne voyait pas pourquoi on effectuerait des recherches coûteuses en temps. De plus, dans un cas, le floutage nécessaire des autres personnes présentes sur les images demandait un travail considérable, voir impossible techniquement. Dans l’autre cas, les personnes étaient très peu visibles sur cette caméra destinée à surveiller la circulation. Et que dans tous les cas, les images étaient effacées après quelques jours: le temps que les recherches soient effectuées, les images n'existeraient plus. En somme, j'ai compris qu'un simple accès à mes images n'était pas possible sans que j’avance de bonnes raisons (agression ou autre).

Echaudé par ces réponses, je suis revenu en séance avec ce constat. Certains de mes collègues me renvoyant la question: "C'est vrai, en somme, pourquoi veux-tu voir tes images?". On peut argumenter qu'en face du droit qu'ont ces entités à me filmer, il existe mon droit à savoir exactement ce qui est filmé.

Mais est-ce utile d'aller jusqu'au bout de ma demande ou n'est-ce qu'un exercice de style juridique qui n'en vaut pas la peine? Avez-vous un avis à ce sujet? Sinon, à quoi sert ce droit d’accès aux images prévu par la loi?

L’article 23 de la loi vaudoise sur la protection des données personnelles.

• Consulter: Art. 23 de la loi vaudoise sur la protection des données personnelles

Mise à jour du 14 octobre 2015:

Voici une première réponse à mes questions:

Sébastien Schopfer, formateur d’adultes dans les nouvelles technologies, nous dit notamment: "Si on ne peut pas voir ce que l'on filme de nous, qu'est ce qui empêche d'outre passer les règles? Comment prouver que les règles sont appliquées s’il n'y a pas de possibilité d'accès pour vérifier que rien n'est hors contrôle, hors cadre concernant notre personne? L'accès aux images est un du parce que c'est une donnée personnelle nous appartenant. Ne pas avoir accès aux images c'est perdre la possibilité de contrôle de sa propre image. Qu'importe la raison. C'est un concept."

Par Philippe Girard, producteur

Le "carton" des assurances-maladie (publication du 27 août 2015)

Vous préoccupez-vous de vos données personnelles? Quel intérêt ont-elles pour les entreprises qui les collectent? Que risque-t-on trop se dévoiler?"On en parle" fait le point sur son "enquête ouverte" lancée il y a plus de 100 jours et ouvre l'antenne à vos questions. Avec François Charlet, juriste spécialisé en droit des technologies, Cédric Jeanneret, fondateur de ethack.org, Jean-Philippe Walter, préposé fédéral suppléant à la protection des données et Stéphane Zrehen, analyste de données AGAM Analytics.

fotolia - germina

Par On en parle

Beaucoup de nouveaux véhicules sont équipés d’un système embarqué permettant la détection d’un accident. Si l’accident est jugé grave par le constructeur, ce dernier peut communiquer les informations à la police, même contre le gré du conducteur. Des questions se posent au niveau de la protection des données des utilisateurs. Dès 2017, en Europe, chaque nouvelle voiture devra être équipée du système eCall, système européen d’appel d’urgence. Ecoutez le sujet de Pauline Vrolixs.

Fotolia - Thaut Images

Par Bastien von Wyss, recherchiste

Après 100 jours d’enquête, il est temps de prendre un peu de recul et d’analyser les réponses reçues de manière transversale.

Nous commençons par une question: comment nos données sont utilisées par les entités qui les détiennent?

Dans les réponses reçues, un aspect a retenu notre attention: le client est parfois "classé" avec des adjectifs.

Premier exemple, relevé par plusieurs personnes ayant demandés leurs données auprès des CFF (voir par exemple l’analyse de François Charlet): ces derniers définissent un "segment de clientèle" avec des adjectifs plutôt amusants. Vous êtes donc classé dans les voyageurs "aventuriers", "infatigables" ou encore "épicuriens" ( "Die Entdecker, Die Rastlosen, Die Geniesser" ).

Les CFF définissent leurs clients avec des adjectifs plutôt amusants.

Autre exemple: la Migros. Dans le programme M-Cumulus, plusieurs qualificatifs sont associés à une personne ("frisch", "nachhaltig", "premium Käufer")  : on devine que la Migros analyse et défini quelles sont les motivations d’achat du client, quelles sont ses habitudes en matière de prix et quelle est la composition de son foyer ("Etablierte Familien").

Dans le programme M-Cumulus, plusieurs qualificatifs sont associés à une personne.

Comment les CFF et la Migros établissent-ils ces segments de clientèle sur la base de nos données d’achat? Et comment les utilisent-ils? Permettent-ils simplement de cibler la publicité ou sont-ils utilisés à d’autres fins?

Des questions qui interpellent et qui seront explorées le mercredi 23 septembre dans l’émission spéciale à l’occasion des 100 jours de notre enquête "Donnez-moi mes données!".

Avez-vous demandé vos données à ces entreprises ou à d’autres et avez-vous aussi remarqué des segments de clientèle?

Partagez vos constats dans le groupe Facebook dédié à cette enquête ou contactez-nous par email!

En complément: La réponse des CFF à propos de la segmentation de sa clientèle.

Segmentation de la clientèle: la réponse des CFF.

Par Henry Buxant, journaliste

J’ai envoyé deux demandes à deux communes où j’ai été domicilié.

Une première demande adressée à la ville de Sion.

En retour, un recommandé émanant de la ville, envoyé étonnamment par la police municipale. La lettre fait état d’un excès de vitesse. Sinon, pour le reste, les documents sont disponibles directement à l’hôtel de ville. Information encore à vérifier.

Réponse de la commune de Sion (VS).

Seconde demande adressée à la commune d’Ecublens, dans le canton de Vaud.

La réponse est beaucoup plus fournie et signée par le syndic et le secrétaire communal.

L’enveloppe contient tous les échanges entre la commune et moi-même concernant la garde de mes enfants. Le relevé de tous les paiements effectués, les différents contrats signés, etc.

Le tout envoyé gracieusement alors qu’un émolument aurait pu être réclamé selon les autorités communales, invoquant l’art. 11 du Règlement d’application de la Loi sur la protection des données personnelles. En serait-il de même pour tout le monde. A tester peut-être avec un autre habitant de la commune qui n’est pas journaliste.

Ne manquent que les documents fiscaux, jugés confidentiels et donc consultables sur place.

Réponse de la commune d'Ecublens (VD).

Réponse de la commune d'Ecublens (VD).

Par On en parle

On le savait: dans certains cas les assurances maladies ou accidents peuvent délier votre médecin du secret médical. Ce qui est surprenant, c'est que cette pratique s'applique aussi aux assurances de véhicules à moteur. Est-ce bien nécessaire d'avoir accès aux données de santé d'un assuré désirant conclure une assurance voiture?

Gilles Antoine Hofstetter, avocat à l'Association suisse des assurés, répond à Philippe Girard et Theo Chavaillaz dans l'édition de "On en parle" du 7 septembre 2105.

herreneck

Par Frédérique Volery

Les patients valaisans devront patienter pour accéder à leur dossier médical électronique. Après un lancement en grande pompe le jeudi 27 août par L’Etat du Valais, le préposé cantonal à la protection des données, Sébastien Fanti, a demandé sa suspension quelques jours plus tard, mercredi 2 septembre.

En cause: des failles dans la sécurité de l’hébergement de ces données. Des données stockées à l’étranger dans le cas du projet valaisan Infomed. Comment en est-on arrivés là?

Les explications de Sébastien Fanti, préposé cantonal à la protection des données du Valais, interviewé par l’émission On en parle en marge de la journée de droit de la santé à Neuchâtel.

Fotolia - JPC-PROD

Par Philippe Girard, producteur

Les données liées à notre santé sont sensibles, puisqu’elles peuvent nous pénaliser auprès des assurances maladies privées, qui ont le droit d’émettre des réserves. C’est donc un volet sur lequel nous reviendrons souvent dans notre enquête ouverte.

Mais intéressons-nous ici au ontenu des données que les assurances ont sur nous – et celles qu’elles sont disposées à nous transmettre. Au lancement de notre enquête ouverte, un internaute nous interpelait sur notre groupe Facebook :

Capture sur Facebook pour le dossier "Donnez-moi mes données" de "On en parle".

Etonné que nos données d’assurance puissent occuper un aussi gros volume – et la personne citée dans le post n’étant pas disposée à parler aux journalistes – nous avons voulu vérifier.

J’ai donc écrit à mon ancienne assurance maladie, à laquelle j’ai été affilié plusieurs années pour l’assurance de base – notamment en 1996, à  l’introduction de la LAMal, puis par intermittences auprès de deux filiales du groupe, dans les années 2000 – et où j’ai encore une petite complémentaire. Je lui ai demandé copie de toutes mes données en sa possession, sur le modèle de lettre rédigé par l’avocat stagiaire François Charlet.

N.B. Ayant fait la demande à titre personnel, et non en tant que journaliste, j’ai choisi de ne pas divulguer le nom de cette assurance – que nous appellerons "assurance X".

40 jours plus tard…

Après un premier accusé de réception me demandant de patienter, je reçois mon dossier en recommandé 40 jours plus tard.

L’envoi est loin de tenir dans un carton! Une grosse enveloppe, contenant 3 dossiers pour un total de 52 pages:

Première découverte: la lettre qui accompagne le dossier est signée d’un "préposé à la protection des données". L’assurance dispose donc d’un professionnel entièrement dévolu à nos données, ce qui est plutôt rassurant – même si le titre, identique à celui des administrations publiques, peut prêter à confusion.

Le premier dossier contient la liste des primes payées (toutes confondues, assurance de base et assurance privée), la liste des décomptes de prestations (mentionnant uniquement les numéros de factures, sans le détail des prestations) et la liste de tous les mouvements bancaires.

10 ans de conservation

Fait notable: toutes ces informations ne concernent que la période 2006 – 2015. J’apprendrai plus tard que les données sont conservées 10 ans, pour des raisons de prescription, m’écrira-t-on:

"Toutes les actions se prescrivent par dix ans, lorsque le droit civil fédéral n'en dispose pas autrement"

Art. 127 Loi fédérale complétant le Code civil suisse - Livre cinquième: Droit des obligations

"Le droit à des prestations ou à des cotisations arriérées s'éteint cinq ans après la fin du mois pour lequel la prestation était due et cinq ans après la fin de l'année civile pour laquelle la cotisation devait être payée"

Art. 24 Al. 1 Loi fédérale sur la partie générale du droit des assurances sociales (LPGA).

Par contre, malgré mes questions réitérées à ce sujet, l’assurance ne dira jamais clairement ce qu’il advient des données après 10 ans (archivage? suppression?).

Le deuxième dossier est essentiellement composé de captures d’écran. Elles correspondent à ma fiche personnelle tirée de la base de données de l’assurance pour chaque année d’affiliation. Mes données de base y figurent (nom, prénom, adresse, année de naissance, numéro de police, etc.). Plusieurs champs ne sont pas documentés (téléphone, e-mail…).

Un champ attire mon attention : "VIP". En ce qui me concerne, ce champ comporte la mention "normal". Faut-il comprendre que certains assurés bénéficient d’un traitement de faveur? Comme les documents ne le précisent pas, je pose la question par mail. J’apprends que les "VIP" sont les assurés salariés de la compagnie. Voilà mes soupçons d’iniquité dissipés.

Le 3 dossier, le plus important, comporte les copies de toutes les factures médicales traitées, ainsi que les copies de la correspondance entretenue. Cette correspondance est cependant très incomplète, puisque n’y figure que la réponse négative de l’assurance à une demande de résiliation de mon assurance complémentaire que j’avais adressée hors délai. La copie de ma lettre elle-même n’a pas été conservée, pas plus que celles des autres courriers que j’ai adressés à l’assurance – à une exception: l’assurance a pris la peine de me renvoyer une copie de ma lettre de demande de données personnelles, avec même la copie de l’enveloppe !

Pourquoi ma correspondance n’a pas été conservée? J’ai posé la question à deux reprises par e-mail. Silence radio.

Des questions sans réponse

Si mon dossier est relativement complet, l’assurance ne répond en revanche à aucune de mes questions sur les personnes qui ont accès à mes données et sur leur une éventuelle transmission à des tiers. Elle se contente de me dire qu’on reste à ma disposition pour répondre à mes questions.

Je reformule donc mes questions par mail. La réponse, plutôt évasive et rédigée dans un français approximatif, ne répond qu’imparfaitement à mes interrogations: on m’assure que l’accès à mes données est limité aux seules personnes qui en ont besoin, pour calculer par exemple les prestations d’assurance.

Pour le reste, on m’indique que "la provenance des données ressort clairement des documents", que les données servent "au décompte des prestations (art. 84 LAMal). Il s'agit aussi bien de données personnelles que de données personnelles particulièrement dignes de protection" (j’ignorais cette distinction !) et que "les destinataires des données apparaissent dans les documents".

Pour comparaison

L’assurance a pris la peine de constituer un dossier plus ou moins complet, mais peine à informer et rassurer quant à l’accès et à l’utilisation de ces données. Pas un mot, par exemple, sur la façon dont l’assurance gère et sépare assurance obligatoire des soins et assurance privée (le sujet avait été abordé dans notre émission "On en parle" du 28 janvier 2015). En outre, plusieurs de mes questions n’ont pas eu de réponses claires – sans doute pour des raisons de langue, le siège de l’assurance étant situé en Suisse alémanique.

Pour comparaison, je décide donc d’entamer la même démarche auprès de ma caisse-maladie actuelle (appellons-la "assurance Y"), qui a son siège en Suisse romande et auprès de laquelle je suis assuré uniquement pour l’assurance de base depuis 2013 (comme je l’ai aussi été pour les années 2004 – 2005, je suis curieux de voir si mes données pour ces exercices-là ont été conservées).

La réponse me parvient 20 jours plus tard. Le contenu est sensiblement le même que celui envoyé par l’assurance X (listing des prestations, captures d’écran de ma fiche personnelles avec données de base, etc.), à l’exception notable des factures originales des soins et de ma correspondance, toutes deux totalement absentes du dossier! Interrogée sur cette absence, l’assurance m’a répondu qu’elle ne renvoyait pas de copies de factures aux assurés, "c’est à l’assuré de faire des copies avant de les transmettre à son assureur. Une fois les factures traitées. Celles-ci sont enregistrées dans les dossiers des assurés".

Les factures font donc bel et bien partie de mon dossier. Mais cette assurance étant connue pour son aversion de la paperasserie, je ne suis guère étonné qu’elle n’ait pas pris la peine de les inclure dans son envoi.

En revanche, dans sa lettre d’accompagnement, l’assurance Y est beaucoup plus précise que la caisse X. Pour tout ce qui concerne le traitement, la transmission et la conservation des données, elle renvoie à un règlement d’une vingtaine de pages, assez complet, disponible sur internet.

Elle mentionne aussi que "les données vous concernant seront détruites après une durée de conservation d’environ 10 ans après un éventuel départ [de l’assurance Y], compte tenu également du délai de prescription de 5 ans pour nous adresser des factures", ce qui corrobore les informations de l’assurance X.

Mais à la différence de cette dernière, l’assurance Y m’a envoyé le relevé des prestations pour l’exercice 2005 – qu’elle n’a donc pas encore détruit! – et mentionne dans sa lettre que, pour l’année 2004, "aucune prise en charge ne figure à votre dossier". Là encore, un simple relevé, sans copie des factures médicales originales.

Demander l’effacement des données ?

Dans son post sur Facebook, notre auditeur nous demande s’il est possible de demander la destruction des données à la résiliation d’une police. "Oui, à condition que l’assurance n’en ait plus besoin pour examiner une prestation", répond l’assurance X.

Cela étant, la destruction de type de données est risquée. En témoigne le cas de Myriam, auditrice que nous citions dans notre "2e Service" du 26 juin 2015: victime d’un accident dans son enfance, elle avait eu à subir un traitement assez lourd au nouveau dentaire. Plus de 30 ans plus tard, devant subir un contrôle d’arthrose à ce propos, elle a besoin de son dossier médical de l’époque. Mais ni la caisse, ni le médecin d’alors, ni son successeur n’ont conservé ce dossier.

"Le renvoi des dossiers aux patients lorsqu'un médecin part à la retraite devrait être automatique. Le transfert des dossiers d'une caisse à l'autre devrait être automatique. Et finalement, il devrait être systématiquement remis au patient (ou lui être proposé) de pouvoir recevoir une copie de son dossier médical", s’insurge Myriam.

Prudence donc avant de demander la destruction de ses données! Il est préférable d’en demander copie avant – ou d’avoir soi-même conservé un dossier complet.

Par On en parle

Sous couvert d'humanisme, Facebook étend son empire numérique et sa collecte de données. Les modèles économiques des géants du net tel que lui sont tous basés sur l'exploitation des données personnelles avec pour slogan: "Turn data into money" qu'on peut traduire par "Changer les données en argent".

L'analyse de Solange Ghernaouti, experte en sécurité informatique de l’université de Lausanne, interviewée par Thierry Fischer pour l'émission "Médialogues".

Keystone - James H. Collins

Par Didier Bonvin, journaliste

Pour cette enquête ouverte, nous collaborons avec François Charlet, juriste spécialisé en protection des données. Dans son blog, il relate les résultats de ses demandes auprès de Viseca, une des principales sociétés émettrices de carte de crédit.

Les réponses sont arrivées dans le délai légal des 30 jours. Dans les données collectées, Viseca rassemble des données de base comme les noms, adresses, date de naissance et informations transmises par votre banque pour le contrat. Il y a aussi une note de solvabilité (risk score).

Concernant cette note de solvabilité, François Charlet a voulu en savoir plus sur la méthode de calcul, l'échelle oscille entre 1 (risque faible) et 6 (risque élevé). Viseca a notifié une fin de non-recevoir et n'a donné aucune explication sur la méthode de calcul de ce risk score.

Par Didier Bonvin, journaliste

Le nouveau système d'exploitation de Microsoft collecterait une masse de données sur ses utilisateurs à des fins publicitaires. Le Parti Pirate Suisse a demandé au préposé fédéral à la protection des données de prendre position sur Windows 10.

Le point juridique avec Sébastien Fanti, préposé cantonal à la protection des données du canton du Valais, et le guide pour désactiver les mouchards avec Alexis Roussel, membre du Parti Pirate Suisse.

Logo officiel

Par On en parle

Nous tenons ici à jour la liste d'idées d'organismes potentiels à contacter pour accéder à nos propre données. N’hésitez pas à nous en proposer d'autres et à tester vous même !

- Assurances maladie (actuelle et ancienne)

- Assurance ménage

- Autorités communales

- Sony

- Vidéosurveillance

- Police

- Dossier médical d'un hôpital

- Chaîne de vente de textiles

- Facebook

- Banques

- Gérance immobilière

- Grands distributeurs

- Amazon

- ESTA

- Sociétés de recouvrement et d'informations de solvabilité (Moneyhouse)

- Google

- Samsung

- Données détenues par les Parcs d’attractions

- Ecoles

- Wifi publics (aéroports par exemple)

- Médias

- Editeurs d'apps mobiles

- Windows

- Concours radio (suggestion email)

- Opérateurs mobiles (suggestion email)

- Swisscom Directories (annuaire internet et téléphonique)

- ... Vos idées

Donnez-moi mes données.

Par On en parle

Un membre de l’équipe raconte sa demande d’accès à ses données personnelles adressée à sa gérance. Ayant entrepris cette démarche à titre privé, son nom et celui de la gérance resteront anonymes.

Avez-vous peur de votre gérance? Parce que moi, oui! Que d’hésitations avant d’oser lui adresser ma demande d’accès à mes données personnelles. Peur d’être classé dans les "emmerdeurs", d’être sanctionné et, au final, de me retrouver à la porte de mon appartement. Journaliste peut-être – qui plus est dans une émission qui ne cesse d’exhorter les citoyens-consommateurs à défendre leurs droits! – mais humain avant tout.

C’est donc après mûres réflexions et parce que, tout bien considéré, je n'ai jamais été en mauvais termes avec ma gérance, que je me résous à franchir le pas. Sitôt décidé, sitôt exécuté (pour ne pas être tenté de reculer!): j’envoie ma lettre-type – non sans l’avoir au préalable expurgée de ses tournures les plus comminatoires – en recommandé, comme il se doit. Quelle n’est pas ma surprise de recevoir une réponse deux jours plus tard déjà. En recommandé également.

Une réponse = une page

Le pli tient sur une page. En huit lignes, on accuse réception de ma demande, on m’informe que mon dossier sera conservé 10 ans après mon départ et que les destinataires de mes données se limitent "aux intervenants directs de [mon] bail à loyer". Mais pas l’ombre d’un dossier dans l’enveloppe. Je réagis donc en renvoyant un mail à la signataire, la remerciant de la rapidité de sa réponse et lui demandant copie de mon dossier.

La réponse, je l’obtiens deux jours plus tard. Par téléphone. C’est la régie qui m’appelle. "Que voulez-vous au juste?", me demande mon interlocutrice, qui dit ne pas comprendre ma démarche. "C’est la première fois qu’on nous demande cela", m’assure-t-elle. "Pourquoi avez-vous besoin d’une copie de votre dossier?" N’étant pas tenu légalement de fournir un motif, j’invoque ma "curiosité citoyenne".

Je sens bien que son embarras tient moins au contenu de mon dossier qu’au travail de photocopie que cela pourrait générer. "Nous devrons vous facturer des frais pour ce travail. Et cela me paraît bien cher payé par rapport à l’intérêt que peuvent présenter ces documents", me confie-t-elle avec franchise. Finalement, nous convenons d’un rendez-vous dans les bureaux de la gérance, où je pourrai librement consulter les pièces de mon dossier et, le cas échéant, demander une copie de celles qui m’intéressent.

Visite à la gérance

La gestionnaire me reçoit à l’heure convenue et m’installe dans une salle de réunion, où elle me demande d’emblée une pièce d’identité, pour vérifier que je suis bien qui je prétends être. Cette mesure de prudence est plutôt bon signe. Puis, nous feuilletons ensemble mon dossier. Je suis d’abord surpris de devoir consulter ces documents en sa présence, mais je comprends, au fil de l’entretien, qu’elle est restée avec moi pour m’expliquer la nature des documents et répondre à mes éventuelles questions. Elle me consacrera trois bons quarts d’heure à cet exercice.

A sa perplexité face à certaines pièces, j’en conclus qu’elle les découvre et n’a donc pas dû ouvrir le dossier au préalable – ce qui laisse supposer qu’il est complet. Il se compose notamment de ma correspondance, des demandes de baisses de loyer ou de réparation, des réponses de la gérance à ces demandes, des échanges entre la gérance et le propriétaire, des avis de modification des charges ou du loyer, du contrat de bail, etc. En découvrant le taux hypothécaire de référence de mon loyer actuel, elle me suggère même de demander une baisse de loyer! Ce détail achève de me convaincre de son honnêteté.

Liste noire et échange de tuyaux

Je lui demande tout de go s’il est vrai que les gérances tiennent des listes noires des locataires réputés "difficiles". "Non", m’assure-t-elle en riant. "C’est une rumeur". Et même si je n’ai aucun moyen de le vérifier, je la crois sincère. "Nous n’avons du reste aucun intérêt à partager des informations négatives avec les autres régies. Car si on a affaire à un mauvais locataire, on a tout intérêt à ce qu’il s’en aille et soit repris par la concurrence". Logique!

Toutefois, me confie-t-elle, l’échange de données entre gérances a eu cours par le passé: une gérance qui signait avec un nouveau locataire avait coutume de téléphoner à la gérance qu’il quittait, pour s’enquérir notamment de sa solvabilité. Ainsi en a-t-il dû être de mon propre cas, présume-t-elle, au vu de l’absence de certains documents dans mon dossier.

Car aujourd’hui, pour vérifier la solvabilité d’une personne, les gérances exigent la copie d’une fiche de salaire et d’un extrait de poursuites – deux documents qui, à l’époque (j’ai emménagé dans les années 90), ne m’ont pas été demandés. Sans doute ont-elles aussi recours à des sociétés type Moneyhouse, suppose-je sans penser à poser la question. "Cette pratique du téléphone entre gérances ne se fait plus de nos jours", me certifie la gestionnaire. "Pour des raisons de confidentialité des données: parce qu’on n’est jamais sûr de la personne qu’on a au bout du fil! Ce peut être un voisin curieux qui se fait passer pour une gérance… ".

Idées reçues

Au final, notre échange sera agréable, franc et direct. Il aura brisé mes idées reçues sur les gérances et leur opacité. Certes, toutes ne sont pas aussi ouvertes et peut-être aurais-je été éconduit – ou lourdement facturé – si j’avais persisté à réclamer une copie écrite de toutes mes données. Mais l’accès direct sur placea aussi l’avantage d’obtenir des réponses immédiates à ses questions.

Avec le recul, mes craintes de demander mes données à ma gérance paraissent bien ridicules. Cela dit, les réponses obtenues mériteraient aussi d’être corroborées. Peut-être par vous? Oserez-vous faire le pas et nous conter vos expériences? A tout le moins, si vous venez de déménager et de changer de régie, faites la demande de vos données personnelles auprès de l’ancienne! Et tenez-nous au courant du résultat.

Par Didier Bonvin, journaliste

Pour cette enquête ouverte, nous collaborons avec François Charlet, juriste spécialisé en protection des données. Dans son blog il relate les résultats de ses demandes avec Swisscom.

La réponse de Swisscom a été faite dans les délais légaux (pour rappel: 30 jours). François Charlet apprend que Swisscom recourt à des organismes tiers (de type Moneyhouse) pour des données de solvablilité des clients, mais respecte "volontiers" sa demande de ne pas transmettre ses données.

En ce qui concerne les données de localisation, elles seraient chiffrées, donc anonymes. Etonnant, alors que l'on peut être localisé par un service d'urgence (112, 117, 118, 114). Swisscom confirme que les informations de localisation sont transférées "exclusivement pour des intérêts publics de sécurité, au service d'urgence".

Dans les documents transmis par Swisscom figurent également des adresses IP, adresses MAC, date de naissance, adresses e-mail et données relatives aux changements d'abonnement (dans les shops, par SMS ou en appelant le service client), aux commandes de smartphones, aux autres produits et services de Swisscom, et aux appels au service client. En tout, 40 pages! A lire sur son blog.

Par On en parle

C'est  un peu la protection des données pour les nuls: les services du préposé cantonal genevois à la protection des données et à la transparence ont fait une BD, didactique et sympa pour comprendre ses droits en matière de données personnelles.

Elle rend la LIPAD (Loi sur l'information du public, l'accès aux documents et la protection des données personnelles) accessible à chacun.

Stéphane Werly, préposé cantonal, explique la démarche à Philippe Girard.

PPDT Genève - Buche

Par Julien Schekter, producteur

Par Didier Bonvin, journaliste

Par On en parle

Il y a quelques semaines, nous vous parlions de la réponse que Moneyhouse avait donnée à François Charlet Rappelez-vous, Moneyhouse lui transmettait les données qu’elle possédait à son sujet, ce après lui avoir confirmé que ses données personnelles avaient été effacées de leur base de données. Cet épisode laissait déjà planer le doute quant au sérieux avec lequel Moneyhouse traite les données personnelles qu’elle possède au sujet de particuliers.

Cette semaine, une de nos collaboratrices recevait à son tour une réponse de Moneyhouse:

Lire le document: Moneyhouse.pdf

La réponse de Moneyhouse.

La réponse de Moneyhouse est plus que surprenante. Sur les trois informations communiquées, deux sont fausses: l’âge et le domicile actuel. Le plus étonnant dans cette réponse est que le domicile actuel indiqué correspond à l’ancien domicile de la mère de notre collaboratrice où elle n’a jamais été domiciliée. Se pose donc la question de comment Moneyhouse a effectué le recoupement entre cette adresse et notre collaboratrice.

Suite à cette réponse, nous avons décidé de vérifier quelles informations Moneyhouse publie sur son site au sujet de cette même collaboratrice:

Les informations personnelles trouvées sur le site de Moneyhouse (1).

Les informations personnelles trouvées sur le site de Moneyhouse (2).

Quelle ne fut pas notre surprise de constater que les informations disponibles sont en tous points différentes de celles transmises à notre collaboratrice. Moneyhouse possède bien plus d’informations au sujet de notre collaboratrice que communiqué à cette dernière. De plus, une grande partie des informations disponibles à son sujet, et que Moneyhouse vend à ses clients, ne sont plus actuelles.

Suite à ces constatations, nous avons décidé d’interpeler Moneyhouse afin de répondre aux nombreuses questions soulevées au sujet de leurs pratiques. Nous reviendrons sur ce sujet très bientôt au cours de l’une de nos prochaines émissions.

Par Didier Bonvin, journaliste

Jean-Henry Morin, professeur de systèmes d'informations à l'Université de Genève et président de Think Services, explique au micro de Didier Bonvin les tenants et les aboutissants de cet agenda numérique suisse, avec comme échéance les élections fédérales.

Le premier thème de ce débat est lancé le 20 juillet 2015 et touche directement notre enquête: la sécurité, la vie privée et la protection des données.

Maxim_Kazmin

Par On en parle

Didier Bonvin raconte son expérience avec la police cantonale vaudoise.

Après avoir réclamé mes données à la police cantonale (VD), selon ces lettres-types, j'ai reçu dans les délais (30 jours) un courrier postal en réponse à ma demande signé par le Commandant lui-même!

Une lettre épaisse contenant beaucoup de pages, mais rien d'inquiétant.

Il s'agit simplement d'un relevé des tous mes appels pour cambriolages, bagarres, destructions de biens public et tapages nocturnes (j'habite à côté d'un parc public pour le moins agité, le Parc Doret à Vevey).

Concernant mes données collectées, y figurent mon numéro de mobile, le nom de mon père, de ma mère, mon lieu de naissance, ma profession et, plus surprenant, ma profession, mon mail professionnel et mon numéro de téléphone professionnel, des infos que je n'ai jamais communiquées à la police lors de mes appels nocturnes.

Y figurent également les appels des autres habitants du quartier pour les mêmes doléances… mais les noms sont bien sûr effacés.

Y figurent également les détails des interventions, j'y suis noté en qualité d'informateur. Il y a quelques erreurs me concernant.

Peut-être y donnerais-je suite pour faire corriger les erreurs me concernant et vous informer des démarches à faire pour, vous aussi, faire effacer ou corriger vos données.

Si vous aussi, vous voulez faire vos demandes à la police, voici le lien pour les lettres-types.

Le courrier reçu par Didier Bonvin de la part de la police cantonale vaudoise.

Par On en parle

Pour cette enquête ouverte, nous collaborons avec François Charlet, juriste spécialisé en protection des données. François Charlet a déjà fait plusieurs demandes d'accès à ses propres données auprès de différentes administration et entreprises.

Cette semaine, François Charlet raconte l'expérience qu'il a faite avec les CFF.

Les CFF ont répondu dans le délai et semblent avoir mis en place des directives claires et précises sur l'utilisation des données des clients. C'est instructif, mais également rassurant. Nos données ne sont pas transmises à des tiers pour nous faire parvenir des publicités. Quant au droit d'accès, tout a très bien fonctionné.

Hormis quelques bémols relatifs aux applications pour smartphone, François Charlet n'a pas de critique à formuler aux CFF et trouve que leur politique en matière de protection des données est en adéquation avec les services et produits fournis.

Vous pouvez lire le récit intégral de François Charlet sur son blog. N'hésitez pas à partager avec nous le résultat de vos propres démarches !

La réponse des CFF à François Charlet.

Par Julien Schekter, producteur

Par On en parle

Le point sur l'avancée de nos recherches après un mois d'enquête et l'éclairage du préposé fédéral suppléant à la protection des données (PFPDT) Jean-Philippe Walter sur les droits des citoyens en matière de protection et d'accès aux données personnelles.

fotolia - coramax

Par On en parle

L'enquête ouverte "Donnez-moi mes données!" a été l’objet de deux récentes émissions de la RTS. Ecoutez-les ici:

RTS

Olly

Par Bastien von Wyss, recherchiste

Suite à la publication des résultats de sa demande par François Charlet, j’ai moi aussi voulu savoir quelles données l’office fédéral de la police (FEDPOL) détenait sur moi.

Puisque cet office semblait répondre rapidement et facilement, j’ai voulu tester une demande plus simple qu’un courrier recommandé.

J’ai donc envoyé un court message électronique via ce formulaire de contact

Capture d'écran du formulaire de FEDPOL dans le cadre de l'enquête ouverte "Donnez-moi mes données".

Un jour plus tard, j’ai reçu une réponse par email qui me demandait une copie de ma carte d’identité et une adresse postale où l’envoyer. J’ai simplement répondu à cet email en joignant un pdf de ma carte d’identité.

Exactement 6 jours après ma demande initiale, j’ai reçu, chez moi, un recommandé avec la réponse complète de FEDPOL. FEDPOL reconnait qu’une demande par email est parfaitement valable:

Capture d'écran de la réponse de FEDPOL dans le cadre de l'enquête ouverte "Donnez-moi mes données".

Et ce qui est amusant c’est que FEDPOL n’a aucune données sur moi, à part un échange qui concerne la préparation d'une émission de 2012:

Capture d'écran de la réponse de FEDPOL dans le cadre de l'enquête ouverte "Donnez-moi mes données".

Avec une question qui reste en suspens: Fedpol m’envoie la liste de ces deux courriers mais pas les deux courriers eux-mêmes.

Est-ce que je pourrais en demander une copie aussi?

Testez vous aussi la demande par email à FEDPOL ou ailleurs et tenez-nous au courant !

Par Didier Bonvin, journaliste

Par Philippe Girard, producteur

J’avais rédigé un brouillon de mail pour demander mes données personnelles à Facebook – en français, comme le ferait un citoyen ordinaire (Facebook existant en version française, cela me semblait légitime). En cherchant un lien vers un formulaire de contact, je découvre qu’il existe un outil pour les demander et les télécharger.

Sitôt vu, sitôt fait ! Je suis la procédure décrite et reçois un courriel contenant le lien pour télécharger un dossier .zip.

Ce dossier contient bel et bien tout ce que j’ai publié sur Facebook depuis mon inscription au réseau social: statuts, photos, vidéos (y compris les messages envoyés ou reçus via Messenger), ainsi que d’autres informations sur mes paramètres de sécurité, l’historique et la liste de mes amis et d’autres indications plus absconses.

Il n’est toutefois rien dit de ce que Facebook fait de ces données et qui y a accès. La réponse est à chercher sur la page dédiée du site.

Dans le dossier photos, un fichier .htm intitulé facedata contient une mention qui attire mon attention: données de reconnaissance faciale avec la mention de différents seuils, suivie de codes chiffrés.

J’ai donc écrit à Facebook - en français - via leur formulaire de contact, pour leur demander des explications:

Madame, Monsieur,

En demandant copie de mes données personnelles, j’ai observé, dans le fichier "facedata" du dossier "photos", la mention: "Données de reconnaissance faciale" avec 3 "seuils".

Je souhaiterais savoir ce que signifient cette mention et ces seuils.

Merci de votre prochaine réponse et meilleures salutations

Philippe Girard

J’attends leur réponse, qui doit me parvenir "sous peu" par courrier électronique. En attendant cette dernière, j’ai déjà reçu la réponse standard qui invite à prendre connaissance des généralités sur la politique d’utilisation des données de Facebook.

La suite au prochain épisode.

Par Didier Bonvin, journaliste

Par On en parle

Pour cette enquête ouverte, nous collaborons avec François Charlet, juriste spécialisé en protection des données. François Charlet a déjà fait plusieurs demandes d'accès à ses propres données auprès de différentes administration et entreprises.

Cette semaine, François Charlet raconte l'expérience qu'il a faite avec Moneyhouse, une société qui publie des données du registre du commerce et des informations économiques. Moneyhouse a traité la demande de François Charlet très rapidement et, comprenant mal sa demande, a d'abord affirmé avoir effacé ses données. Suite à la relance de François Charlet, Moneyhouse lui a finalement transmis les données qu'elle détenait à son sujet. Cet exemple fait planer le doute quant au traitement réservé aux demandes de suppression de données faites à Moneyhouse par des particuliers.

Moneyhouse étant actuellement sous la loupe du Préposé fédéral à la protection des données et à la transparence (PFPDT), nous aurons certainement l'occasion d'en reparler au cours de notre enquête ouverte.

Vous pouvez lire le récit intégral de François Charlet sur son blog. N'hésitez pas à partager avec nous le résultat de vos propres démarches!

Par On en parle

Pour cette enquête ouverte, nous collaborons avec François Charlet, juriste spécialisé en protection des données. François Charlet a déjà fait plusieurs demandes d'accès à ses propres données auprès de différentes administration et entreprises.

La première réponse, celle de FEDPOL, l'Office fédéral de la police, est désormais publiée presque intégralement sur son blog et nous vous invitons à la découvrir. Il s'agit d'un document pdf de 3 pages.

Selon l'appréciation de François Charlet, c'est un sans faute de FEDPOL qui a non seulement répondu très rapidement (en quelques jours) mais qui donne même plus d'informations que celles qui ont été demandées.

Si vous voulez faire l'expérience pour vous-même, tout est prêt et cela vous coûtera le prix d'un timbre (recommandé si vous le souhaitez mais ce n'est pas obligatoire) et d'une photocopie de votre carte d'identité:

La lettre-type est ici.

Et tenez-nous au courant de vos démarches !

Par Philippe Girard, producteur

Par Bastien von Wyss, recherchiste

En fin de semaine dernière, nous avons fait les demandes d’accès à nos données personnelles suivantes :

- Henry Buxant, journaliste, a demandé ses données à deux communes de deux cantons différents dans lesquelles il a habité.

- Didier Bonvin, journaliste, a demandé ses données à Sony (voir le débat à ce sujet sur notre groupe Facebook) et à la police vaudoise.

- Philippe Girard, producteur, a demandé ses données à son assurance.

- J’ai moi-même demandé mes images de vidéosurveillance à la commune de Lausanne. Voir le débat à ce sujet sur notre groupe Facebook.

Ces entités ont 30 jours pour nous répondre et nous nous réjouissons de vous tenir informés des résultats sur cette page.

En attendant, continuez de débattre et faites vous-même des demandes grâce aux lettres-types en nous tenant informés!

Premiers courriers postés.

Par Julien Schekter, producteur

Par On en parle

Si vous aussi vous êtes intéressés à demander un accès à vos données, voici des liens pour télécharger des lettres types:

Modèles de lettres par secteur mis à disposition par le Préposé fédéral à la protection des données et à la transparence (PFPDT)

Modèles de lettres mis à disposition par François Charlet, juriste spécialisé en protection des données qui participe à cette enquête

Notre lettre type de demande générale de renseignements

Il est important de lire les conditions générales des assurances maladie.

Par On en parle

Ecoutez les détails de notre première enquête qui s'est ouverte hier. Explications en compagnie de François Charlet, juriste spécialisé en droit des technologies.

fotolia - gianfranco bella

Par On en parle

Vous tous, auditeurs et internautes, êtes invités à participer à cette enquête. Si vous avez des idées d'organismes à qui demander des données, si l'avez fait vous-même et que vous souhaitez partager votre expérience ou si vous avez des pistes d'investigation, il existe plusieurs moyens pour nous contacter:

- Pour débattre avec On en parle et les autres participants à l'enquête: Twitter avec #mesdonnées ou sur notre groupe Facebook dédié.

- Pour nous envoyer des informations directement, par exemple des documents confidentiels (que nous ne publieront pas sans votre accord): onenparle@rts.ch ou notre formulaire de contact.

Tous ces moyens sont résumés sur cette page: faites-en bon usage!

"On en parle" est à votre écoute.

Par On en parle

Par On en parle

L’émission On en parle de RTS La Première lance aujourd’hui "Donnez-moi mes données", une première "enquête ouverte". Ouverte? Oui, à plusieurs titres:

- Ouverte car vous pouvez en suivre l'élaboration sur cette page. Nous publions ici, en plus des résultats obtenus et des analyses, les documents de l'enquête, les réflexions de notre équipe, vos témoignages et vos idées: bref, les coulisses de l'enquête.

- Ouverte à votre participation.

- Ouverte dans le temps et dans sa direction, puisque la durée de l'enquête est inconnue et nous sommes prêts à réagir en fonction des éléments découverts.

"Donnez-moi mes données" tentera d’accéder, au fil des mois, aux données détenues par les entreprises et les administrations, avec votre participation.

Le lancement de cette enquête se fait en collaboration avec François Charlet, juriste spécialisé en protection des données, qui enquête aussi sur les données personnelles récoltées et que nous suivrons de près.