Datagotchi : la fausse bonne idée.

Dans la catégorie “l’enfer est pavée de bonnes intentions” et “fail” de la semaine, l’application “Datagotchi”, développée par des chercheurs de l’Université Laval.

Voir ce lien vers l’article de la Presse faisant l’annonce de l’application.

“Où buvez-vous votre café ? Quel est votre film préféré, votre artiste chouchou ? Et donc, pour qui votez-vous ? À une semaine du scrutin, une équipe de chercheurs québécois lance une nouvelle application « ludique » qui permet de « prédire votre vote » en fonction d’habitudes de vie du quotidien. Le projet se veut aussi une façon de sensibiliser le public à la richesse des données individuelles.”

À noter la fin de l’article qui va comme suit:

“La plateforme a donc passé à travers un processus éthique « rigoureux ». Les données ne seront utilisées que dans un objectif d’analyse, et ne seront en aucun cas partagées avec des entreprises ou des partis politiques.”

Plusieurs choses à cet effet:

1) L’évaluation de la protection de la vie privée et de la sécurité de l’information n’a rien à voir avec “l’éthique” et tout à voir avec le “comment”. La capture de données, leur utilisation, conservation et destruction dans le temps doit être encadrée par des processus clairs, définis et reconnus par l’ensemble de l’industrie. C’est pourquoi il y existe des standards, des normes, des certifications à avoir afin de démontrer le sérieux de la protection de nos systèmes, de l’utilisation des données utilisateurs et de leur encadrement. ISO 27001, ISO 27017, ISO 27018, SOC 2 (type 1 et 2), CSA Star Level, HIPAA, FedRamp, et la nouvelle certification “Cybersécuritaire” du gouvernement fédéral, etc, etc, etc, pour n’en nommer que quelques unes. C’est à travers les processus et contrôles définis dans ces certifications qu’on peut assurer et démontrer du “comment” (avec des preuves) l’on protège les données des utilisateurs. Et si on veut déployer une application en Europe, il faut être capable d’expliquer comment nous protégeons les données des utilisateurs. Cette application ne détient aucune de ces certifications et/ou informations. Rien n’est décrit quant à la protection de vos données personnelles et d’habitudes de vie.

2) Le processus “éthique” s’appliquerait donc en amont, lors de la réflexion stratégique du “pourquoi” de l’app. Or, nous avons des doutes. Et mettons que le scandale “Cambridge Analytica” ne nous donne pas particulièrement envie de soutenir ce projet. À moins de clarifier le “pourquoi” de la chose, pour ensuite assurer le “comment”, nous voyons difficillement comment une organisation technologique sérieuse pourrait donner son aval à cette application. Surtout que, à priori, ils indiquent vouloir réutiliser cette application (donc potentiellement ses données?) dans d’autres élections, afin, visiblement, de raffiner l’algorithme/leur système. Qu’est-ce qui assure que les données et/ou l’algorithme développé de “façon ludique” ne sera pas ensuite réutilisé ou revendu à des fins commerciales ou politiques? Aucune information n’est disponible sur leur site à cet effet.

À noter que les pages de “vie privée” et “politique d’utilisation” du site web de l’application, au moment d’écrire ces lignes, ne contiennent rien. Que du “Lorem Ipsum“, ce qui ne protège d’ailleurs aucunement les utilisateurs et/ou les chercheurs. Cela est une excessivement mauvaise pratique.

Capture d’écran de la politique de confidentialité de “Datagotchi” lors de sa mise en ligne

Également, est-ce que l’application a été testée par des professionnels avant d’être mise en ligne? Et si elle était compromise? Et si la base de données de tous ses utilisateurs étaient dumpée sur le web? On parle d’une tonne de données ultra-sensibles qui pourraient être rendues publiques. Aucune information à cet effet non plus.

Aussi, aucune information n’est disponible quant à la conservation, l’anonymisation ou la destruction des données des utilisateurs.

Bref, un gros “NON” quant à l’installation de cette application. Une “fausse bonne idée”, qui aurait dû se souvenir de Cambridge Analytica, et faire ses devoirs, avant d’aller voir la Presse.

FacebooktwitterredditpinterestlinkedintumblrmailFacebooktwitterredditpinterestlinkedintumblrmail

Publié par

Luc Lefebvre

Geek humaniste. Expert en gouvernance de la sécurité de l’information de jour et président-cofondateur de Crypto.Québec de soir. Ses intérêts sont le renseignement, la politique, la sécurité internationale, la technologie, la démocratie, le progrès, les droits humains et l’astronomie.