A cheval donné ...

Alors qu'autrefois les logiciels commerciaux et payants étaient la règle, on trouve aujourd'hui de plus en plus d'offres gratuites. Or, il se trouve que dans l'économie libre, il n'existe rien de tel que "gratuit" ou "libre".

En anglais, il existe également une expression pertinente à ce sujet : "TANSTAAFL - there ain't no such thing as a free lunch".

Il n'y a peut-être pas de paiement, mais il y a quand même une contrepartie. Dans la plupart des cas, les utilisateurs d'offres Internet ou d'applications gratuites paient aujourd'hui tout simplement avec leurs données.

Un utilisateur devient un "profil" - avec lequel on peut d'autant mieux adapter la publicité à ce même utilisateur qu'on l'enrichit de données. Ce "modèle commercial" est aujourd'hui omniprésent, même dans certains produits de sécurité.

Toutefois, dans ce modèle, les données restent généralement dans la relation entre le fournisseur et le client. Ce qui, en tant que client, est normalement encore pénétrable. La situation devient toutefois critique lorsque des profils (même anonymisés) sont revendus à des tiers.

Ce "Saint Graal" des annonceurs permet de créer des profils encore meilleurs et plus transparents grâce à la corrélation croisée de sources de données très diverses.

Et cela est d'autant plus vrai si l'on parvient ainsi à "désanonymiser" des données en fait anonymes.

C'est d'autant plus tragique que les expériences tant théoriques que pratiques montrent clairement que la désanonymisation est en fait un problème purement statistique qui dépend exclusivement des sources de données et des quantités disponibles.

Galvanisé

Malheureusement, même les fournisseurs de solutions de sécurité utilisent aujourd'hui cette possibilité pour gagner de l'argent supplémentaire. C'est d'autant plus tragique que dans le domaine de la sécurité, on attend une certaine sensibilité dans tout traitement de données personnelles.

Bien que parfaitement légale, la question de l'éthique doit également être posée ici. Bien sûr, la revente de données est une activité complémentaire rentable pour le fournisseur. Toutefois, cette relation "trois ou plus" est devenue impénétrable pour les clients.

Il est difficile de répondre à la simple question "Qui possède mes données ?

Jusqu'à présent, il ne restait plus qu'à étudier obstinément les conditions générales des fournisseurs. Le fait que celles-ci soient généralement rédigées dans un anglais juridique des plus raffinés ne facilitait pas vraiment la tâche ...

Miser sur le bon cheval

C'est là qu'intervient la "norme minimale" de l'European Expert Group for IT-Security (EICAR). Ce groupe est connu pour être un organisme de recherche européen indépendant dans le domaine des antivirus, mais il s'occupe depuis longtemps de la sécurité informatique dans son ensemble.

Le projet le plus actuel est la "norme minimale" qui oblige les fournisseurs certifiés à respecter l'hygiène des données. Cela signifie que les produits de sécurité ne peuvent collecter et transférer au fabricant que les données absolument nécessaires à l'accomplissement des fonctions de sécurité.

La collecte de données personnelles et leur transfert violent clairement cette exigence. En tant que directeur technique de Trend Micro, il me tient également à cœur de dire personnellement que nous sommes le premier fabricant à avoir certifié des solutions selon la norme minimale EICAR.

Le modèle commercial de Trend Micro consiste à vendre à nos clients la meilleure protection possible contre les dangers du monde informatique. La collecte et l'utilisation secondaire des données des clients ainsi que leur revente n'en font définitivement pas partie.

En fin de compte, il faut se demander sur quel cheval on veut miser, quel prix on est prêt à payer pour une prestation ou une solution.

D'un côté, il y a l'option commerciale avec un prix monétaire clairement défini et une prestation correspondante. De l'autre côté, on paie avec ses données ...