[Oups] Facebook partage ENCORE les données de vos amis d’amis avec certains annonceurs

On pensait que Facebook avait arrêté le partage de données « très » personnelles en 2015.
Selon son CEO, Mark Zuckergerg, c’est à cette date que le partage d’informations comme « le degré de proximité avec un utilisateur » avait été interdit. C’est depuis 2015 qu’il prétendait aussi ne plus partager les informations personnelles de… vos amis.
Il n’en est rien. Le Wall Street Journal a découvert que ces pratiques ont continué et à tout publié vendredi 08 juin dans la soirée.
Certains annonceurs comme NISSAN ou la banque RBC ont pu continuer à travailler avec ces données très personnelles. Ils faisaient partie d’une « liste blanche » d’entreprises sélectionnées sur des critères que les journalistes n’ont pas réussi à percer. On doute que les utilisateurs aient été prévenus de cette sur-utilisation. C’est bien le quatrième scandale qui frappe ce réseau cette semaine !

Si l’info du WSJ est validée, Facebook a donc menti lors de son grand oral devant le Congrès américain et devant la Commission Européenne.
Il était temps de réagir, le secteur des Analytics ne parvenait pas à s’auto-réguler. Nous verrons si les promesses du nouveau Règlement européen parviennent à remettre un peu de décence dans ces partages d’informations.

Le machine learning expliqué à ma fille

A quoi ça sert ?
Le machine learning sert à faire des prédictions et des classements à partir de données.
A partir de toutes les données : images, textes etc…
Donc le champ d’application est infini.

Le machine learning (ou apprentissage machine) se décompose en 4 grandes familles, selon la qualité de vos données :

Vous avez des données bien classées, bien annotées ?

Faites de l’apprentissage machine supervisé.
Exemple : Si vous avez des exemples déjà classés, la machine peut automatiquement classer des images selon leur contenu.

Ce type de machine learning donne deux types de résultats :

  1. Un chiffre (exemple : le loyer médian à Paris) – il s’agit alors d’une régression.
  2. Des données classées par groupe (exemple : classer les chiens et les chats) – il s’agir alors d’une association.

Vous avez des données « brutes », pas classées, vous ne savez pas quel type de résultat vous recherchez ?

Faites de l’apprentissage machine non supervisé.
Exemple : Trouver les groupes significatifs dans des millions de données non classées. C’est typiquement le cas pour les publicitaires qui classent des milliards de profils selon des critères d’habitude de vie, d’achat, de lieux… en plusieurs groupes plus petits.

Ce type de machine-learning donne deux types de résultats :

  1. Des données classées par groupe (exemple : les femmes actives de moins de 40 ans, avec un chat, à Londres) – il s’agit alors de clustering.
  2. Des procédures (patterns en anglais) qui permettent de faire de la prédiction (« Vous avez acheté X donc vous serez intéressés par Y ») – il s’agit alors d’association.

Vous avez quelques données classées et des données brutes ?

Faites de l’apprentissage semi-supervisé.
Exemple : En imagerie médicale vous avez des images déjà analysées et d’autres qui ne le sont pas. La machine va combler les vides de vos données.

Ce type de machine learning donnera sensiblement les mêmes résultats que l’apprentissage non-supervisé (clustering / association) mais avec beaucoup plus de pertinence.

Vous n’avez pas de données ?

Faites de l’apprentissage par renforcement.
Exemple : apprenez à votre robot à jouer à la belote ! C’est le type de machine learning le plus connu, avec les défi au jeu de Go, aux échecs etc… L’idée est de faire comme avec un enfant : récompenser la machine pour les bonnes réponses, avec le temps elle va apprendre à éviter les mauvaises ! La machine va collecter les données PENDANT le jeu. Donc il est possible de partir d’une page blanche.

… et bientôt on parlera d’apprentissage par transfert… domaine plus inquiétant car la machine sera capable d’appliquer des modèles appris dans un contexte à un autre contexte.

Le début d’une forme d’intelligence, artificielle.

Votre employeur peut-il consulter votre clé USB personnelle, branchée sur l’ordi du bureau ?

Oui.
Tout appareil branché sur le réseau interne de l’entreprise est présumé professionnel. Et les fichiers qu’il contient s’ils ne sont pas clairement identifiés comme « personnels » sont considérés comme professionnels.
Il convient donc d’être vigilant : votre ordinateur portable personnel branché sur le réseau du bureau est un ordinateur « présumé » professionnel. Il est donc accessible aux règles de cybersurveillance de l’entreprise. Votre employeur peut donc contrôler les fichiers, les sites visités, les copies de/vers cet ordinateur… etc
Votre clé USB aussi. Elle aura beau s’appeler « SuperMan » elle fait partie du parc informatique de l’entreprise le temps de sa connexion.

L’employeur devra quand même vous prévenir des usages et contraintes liés à ce type d’appareils, généralement dans une charte informatique.
Note : Si vous vous amusez à mettre tous vos emails pro en « personnel » dans l’objet, cela ne vous protège pas beaucoup. L’abus sera sanctionné.

Vous êtes pharmacien, avez-vous besoin d’un Délégué à la protection des données ?

Dans tout le Barnum médiatique du RGDP, on a pu oublier l’aspect concret. A partir d’aujourd’hui la majorité des métiers est impactée par ce nouveau règlement. Les métiers de la santé en particulier. Vous manipulez des données personnelles « sensibles ». Même si dans votre officine vous utilisez des logiciels certifiés RGDP / GDPR. Qui peut avoir accès à vos logiciels ? Qui peut consulter les données personnelles des patients / clients ? Faites-vous des remontées d’informations aux laboratoires ? Où stockez-vous les données ? Sur des disques durs physiques ? Dans le Cloud ? En France ? etc…
Le RGDP – au départ – était prévu pour les grandes sociétés. A la fin il s’applique à tous.

Donc oui, il vous faut un Délégué à la protection des données.

Bonne nouvelle, il peut être externe à l’entreprise. De nombreux professionnels du droit et de la donnée se spécialisent. Les certifications sont en cours pour ce nouveau marché.
Personne n’est prêt. La CNIL, autorité de contrôle française, en est consciente et accordera un délai de grâce. Le temps que les processus se mettent en place.
D’ici là, commencez votre démarche de mise en conformité.

Le digital nomade et le RGPD : quelles solutions ?

RGPD Digital Nomad

Si vous êtes un digital nomade, le RGPD a un impact direct sur votre activité. Toutes les connexions effectuées en dehors de l’Union Européenne sont potentiellement des « transferts de données » vers un pays tiers. Même si c’est vous qui vous connectez au serveur de votre client basé en Europe. Le cas typique étant le développeur basé en Asie qui travaille à distance sur votre application mobile.
Il n’est plus dans l’UE, vos clients sont dans l’UE, et leurs données aussi.

Comment encadrer ces pratiques ?

Si elles sont rares, je pense qu’il ne faut pas créer de registre particulier pour ces connexions.
Si elles deviennent communes, alors plusieurs actes doivent être posés :

  • rédiger des BCR (Binding Corporate Rules) pour définir et encadrer les connexions des Nomades sur les serveurs, et les données personnelles des clients.
  • renforcer la sécurité des ordinateurs des Nomades. Si ce sont vos employés, prévoir des système de MDM (Mobile Device Management) pour « piloter » ces ordinateurs / téléphones à distance. Et effacer les données en cas de perte / vol.
  • Ouvrir un VPN pour sécuriser les échanges entre vos serveurs et le poste hors UE

On le voit, l’ouverture des accès à un Nomade demande quelques préalables. Pensez à en parler à votre Délégué à la Protection des Données.

Comment profiter de la nouvelle interface de LinkedIn dès maintenant ?

Le premier réseau social professionnel est en train de déployer sa nouvelle interface au niveau mondial. Voici les changements :

AVANT

APRES

Les principaux changements :

  • photo de profil qui passe à gauche
  • résumé plus long (même si cela ne saute pas aux yeux !)
  • Indice de présence en ligne
  • des tendances sur les sujets qui montent
  • mise en avant de la vidéo dans vos statuts

 

Comment en profiter ?

Si vous n’êtes pas en Amérique du Nord, vous pouvez déjà en bénéficier grâce à une astuce simple : changer la langue de votre profil. Passer du français à l’anglais et voilà !
Rendez-vous dans « Vous » (en haut à droite) puis COMPTE puis LANGUE…

Google pris la main dans le sac : ils collectaient des données très précises à l’insu des Australiens !

Encore une bonne raison de se réjouir de la législation à venir en Europe. Selon Larry Kim, les autorités australiennes vont instruire une enquête sur Google dans leur pays. Selon une révélation d’Oracle – son concurrent – le géant de Californie moissonnait 1 giga par mois de données personnelles de tous les téléphones Android d’Australie.
Parmi ces données : la localisation, même quand elle était désactivée, même sans app installée, et même sans carte SIM installée !!
Google a mappé tous les points wifi, les antennes relais, les adresses IP ce qui leur permettait de localiser un téléphone qui tente de se connecter même si la localisation était éteinte. Pire : les 10 millions d’utilisateurs d’Android en Australie ont aussi dû payer pour envoyer ces données via leur connexion 3G / 4G !

On se demande comment une telle affaire aurait pu se terminer avec un RGPD australien en place… Et on peut se poser la question du déménagement de 1.25 milliards de profils Facebook (hors UE / USA / Canada) de l’Irlande vers la Californie.

Données décryptées sur les Android d’Australie – https://twitter.com/larrykim