mardi 11 décembre 2012

Comment la biométrie va envahir nos vies


http://www.lesechos.fr/entreprises-secteurs/innovation-competences/technologies/0202441991488-comment-la-biometrie-va-envahir-nos-vies-519165.php
J'ai publié ce matin dans les pages Innovation Compétences des Echos une enquête sur l'avenir de la biométrie.
Les chercheurs américains, français ou japonais nous prédisent un avenir où nous serons reconnus par les capteurs biométriques (voix, empreintes...) des téléphones et des ordinateurs. Les organisations dédiées à la protection de la vie privée confirment cet engouement pour la biométrie, mais s'en inquiètent.
http://www.lesechos.fr/entreprises-secteurs/innovation-competences/technologies/0202441991488-comment-la-biometrie-va-envahir-nos-vies-519165.php

mercredi 5 décembre 2012

Comment Facebook nous range dans telle ou telle catégorie pour nous afficher des publicités ciblées

Gary Davis, Commissaire Adjoint à la Protection des Données en Irlande, explique comment Facebook nous range dans telle ou telle catégorie pour nous afficher des publicités ciblées lorsque nous nous connectons à notre profil.

Résumé des épisodes précédents : voici déjà plusieurs mois que j'ai constaté que Facebook permettait aux annonceurs de cibler des publicités en fonction de nos centres d'intérêt supposés pour certaines pratiques sexuelles ou certaines drogues illicites (lire l'épisode 1 : Les publicités Facebook ciblent nos préférences sexuelles ! ; l'épisode 2 avec l'avis de la CNIL et de son homologue irlandais ; l'épisode 3, avec la réponse officielle, mais décevante, de Facebook, ainsi qu'une interview de Benoit Dupont, titulaire de la Chaire de recherche du Canada en sécurité, identité et technologie de l’Université de Montréal ; l'épisode 4 avec l'ultimatum que la CNIL irlandaise avait lancé à Facebook).

Contactées, la CNIL (Commission Nationale Informatique et Libertés), puis son équivalent (le Data Commissioner) irlandais, en charge du dossier Facebook (le siège social de Facebook Europe est en Irlande) ont confirmé qu'il s'agissait de données sensibles, dont la collecte était interdite sans le consentement express des internautes.

Dans son dernier rapport d'audit consacré à Facebook, le Data Commissioner irlandais avait donné quatre semaine à Facebook pour répondre à ces préoccupations.

La saisie d'écran ci-dessous, réalisée aujourd'hui même, prouve qu'il est toujours possible de concevoir une publicité sur Facebook ciblant les internautes en fonction de données sensibles.


J'ai sollicité une interview téléphonique avec un responsable du Data Commissioner irlandais. Gary Davis, Deputy Data Commissioner a accepté de répondre à mes questions.


Comment est-il encore possible de préparer une publicité sur Facebook utilisant des données sensibles, comme un intérêt pour certaines pratiques sexuelles ou des drogues illicites ?

Gary Davis : La position de notre organisme est très claire : les publicités ciblées utilisant les termes apparaissant dans la saisie d’écran que vous nous avez envoyée sont inacceptables. Le problème est qu’il existe des milliers de termes qui, dans certains contextes, peuvent être interprétés comme des données sensibles. Par exemple, le mot “voile” peut être anodin dans le cadre d’une page publiée par un magasin qui vend des voiles pour les bateaux ; mais il devient un terme sensible car connoté religieusement si l’on parle du “voile islamique”. Une des solutions que nous avions envisagées et dont nous avions discuté avec Facebook était la création, puis la mise à jour d’une liste noire de mots que les annonceurs n’auraient pas pu utiliser, mais, de toute évidence, cette approche était trop compliquée à mettre en œuvre, car il y aurait eu des milliers de mots concernés et ils n’auraient pas arrêté d’évoluer. Le réseau social s’est donc engagé à bloquer toute publicité utilisant des termes “sensibles”. La publicité ne sera pas affichée et Facebook entamera des poursuites contre tout annonceur qui, délibérément, n’aurait pas respecté les conditions de Facebook dans ce domaine.

Mais, normalement, Facebook devrait recueillir l’accord express des internautes avant d’utiliser des données sensibles à des fins marketing ou publicitaires ?
G. D. : Facebook regarde automatiquement les mots que nous utilisons lorsque nous mettons notre statut à jour, par exemple, puis note certains mots ou catégories pouvant servir au ciblage publicitaire. Dans ce cadre-là, il est difficile de recueillir l’accord préalable des internautes. Et, de toute façon, si Facebook respecte son engagement de bloquer et de ne pas afficher toute publicité utilisant des termes sensibles, ces données ne seront pas utilisées à des fins marketing.

Ne serait-il pas possible de demander à Facebook de révéler à tous les internautes qui le souhaitent dans quelles catégories publicitaires le réseau social les a classés ? C’est ce que fait par exemple Google avec son  gestionnaire de préférences pour les annonces : les internautes peuvent même décocher les catégories qui leur semblent inappropriées pour eux…
G. D. Les utilisateurs peuvent désormais avoir accès à ces termes, via les outils de téléchargement disponibles sur Facebook. [NDLR : voir  http://tousfiches.blogspot.fr/2013/01/comment-savoir-dans-quelles-categories.html]

mercredi 28 novembre 2012

En attendant le "droit à l'oubli", nos enfants doivent prendre un pseudonyme sur Internet et en particulier sur Facebook

La Défenseure des enfants a rejoint tous ceux qui demandent, depuis bientôt trois ans, la création d'un droit à l'oubli numérique. En attendant cette hypothétique modification de la législation, le plus simple, pour les préadolescents et adolescents qui veulent protéger leur vie privée sur Internet, est de prendre un pseudonyme. Dans leur rapport 2012 consacré aux droits de l’enfant - Enfants et écrans : grandir dans le monde numérique, le Défenseur des droits, Dominique Baudis, et la Défenseure des enfants, Marie Derain, avancent dix propositions pour améliorer la protection des mineurs utilisant les nouvelles technologies. La suggestion la plus reprise par les médias est le droit à l'oubli numérique (Proposition n°3) : «Faire reconnaître aux mineurs le droit à une protection renforcée de leur vie privée – droit à l’oubli, droit au déréférencement.» Voilà plus de trois ans que je suis les aventures du «droit à l'oubli numérique», un concept inventé par deux sénateurs français (lire à ce sujet deux articles que j'ai publiés dans Les Echos : Comment effacer nos traces sur Internet ? et Droit à l'oubli : Facebook, Google et Yahoo! n'ont pas signé la charte.) Du coup, je crains  que ce droit à l'oubli ne devienne pas une réalité avant de très nombreuses années. En attendant, je conseille aux préadolescents et adolescents qui veulent s'inscrire sur Facebook de prendre un pseudonyme ! Devenus adultes, ils pourront, s'ils le souhaitent, se créer un nouveau profil sur le réseau social, avec, cette fois, leur vraie identité. Les conditions d'utilisation de Facebook interdisent, normalement, de prendre une fausse identité, mais les internautes français qui passeraient outre à cette interdiction ne risqueraient pas grand-chose : rien, dans les lois de notre pays, n'oblige à dire la vérité à un site Web. Attention, cependant, en créant son pseudonyme à ne pas usurper l'identité de quelqu'un. Mieux vaut faire fonctionner son imagination ! Grâce à ce pseudonyme, un employeur potentiel, dans quelques années, ne pourra pas retrouver le profil Facebook d'un adolescent et avoir ainsi accès à toutes les bêtises qu'il aura peut-être écrites ou photographiées, puis publiées sur le réseau social. Prendre un pseudonyme me semble tout simplement un conseil de bon sens, mais, bizarrement, il est très peu suivi : comme le rappelle le rapport 2012 consacré aux droits de l’enfant - Enfants et écrans : grandir dans le monde numérique, «92 % des adolescents déclarent avoir ouvert un profil sous leur identité réelle (sans recourir à des identités de substitution ou des pseudonymes), et publient une quantité importante d’informations personnelles Attention : il faut aller jusqu'au bout de cette logique de pseudonyme. Il ne faut pas utiliser l'adresse email normale de l'enfant (qui ressemble en général à quelque chose comme : prenom.nomdefamille@fournisseurinternet.fr) mais créer une adresse email qui lui sera dédiée et qui reprendra éventuellement des éléments de ce pseudonyme (monfauxprenom.monfauxnom@fournisseurinternet.fr). Ce n'est qu'une fois devenus adultes que le jeune homme ou la jeune fille pourront utiliser leur vrai mail et leur vraie identité sur Facebook. Si l'enfant, pour son profil Facebook créé avec un pseudonyme, puis l'adulte, pour son nouveau profil, avec sa vraie identité, utilisaient la même adresse de courrier électronique, Facebook pourrait se servir de cet élément commun aux deux comptes pour faire le rapprochement et, éventuellement - on n'est jamais assez prudent avec ce réseau social -, imposer la fusion des deux profils…

lundi 19 novembre 2012

Demain soir à Valence (26) pour intervenir sur le thème «Facebook et les réseaux sociaux : amis ou ennemis des internautes et de leur vie privée ?»


Je serai demain soir, mardi 20 novembre 2012, 20H à Valence (26) pour intervenir sur le thème «Facebook et les réseaux sociaux : amis ou ennemis des internautes et de leur vie privée ?»

Avec plus d'un milliard d'utilisateurs dans le monde, Facebook est devenu un petit Internet à lui tout seul. Bien utilisé, c'est un formidable outil de communication. Mais c'est avant tout une entreprise commerciale qui vit de la publicité et qui n'a qu'un seul objectif : siphonner un maximum d'informations.

A l'invitation de l'Université Populaire de l'Agglomération Valentinoise.

La conférence aura lieu :

- à 20H00
- au Conseil Général de la Drôme‎, Hôtel du département
26 Avenue du Président Herriot, 26026 Valence


View Larger Map

mercredi 26 septembre 2012

Facebook dispose de quatre semaines pour revoir ses publicités ciblées en fonctions de données sensibles


Le Office of the Data Protection Commissioner, l'équivalent irlandais de notre CNIL, a donné quatre semaines à Facebook pour revoir sa politique et ses pratiques liées à l'utilisation de données sensibles à des fins publicitaires.



A la suite de la publications de mes découvertes (voir les épisodes 1, 2 et 3 de ce feuilleton) sur le ciblage que Facebook offre à ses annonceurs en fonction de nos soi-disant centre d’intérêts déclarés pour certaines pratiques sexuelles ou certaines drogues, j’avais interrogé la CNIL (Commission Nationale de l'Informatique et des Libertés), qui m'avait dirigé vers son homologue irlandais.
Au sein des CNIL européennes, le Office of the Data Protection Commissioner est en effet en charge du dossier Facebook, le réseau social ayant installé son siège social européen à Dublin.
Déjà en décembre 2011, le Commissioner irlandais avait demandé, à la suite d'un audit approfondi, à Facebook de modifier sa politique et ses pratiques en matière de publicités ciblées : en Europe, les données sensibles, comme les pratiques sexuelles, ne peuvent pas être utilisées à des fins commerciales sans que l'accord des intéressées n'ait été recueilli au préalable et de façon expresse.
Normalement, Facebook avait jusqu'en juillet dernier pour effectuer ces changements.
Le réseau social n'a pas respecté ce délai, puisque, dans son dernier rapport - de re-audit - publié vendredi dernier, le Commissioner donne encore quatre semaines à Facebook pour se conformer à ses recommandations pour l'utilisation des données sensibles à des fins publicitaires.
J'ai demandé aux représentants du Commissioner pourquoi la CNIL irlandaise était aussi indulgente avec le réseau social et quelles sanctions étaient prévues si celui-ci ne se respectait pas leurs demandes.
«Nous ne considérons pas que nous avons été indulgents avec Facebook Irlande, pour les raisons exposées dans le rapport [de re-audit], m'a répondu Catriona Holohan, du service communication du Office of the Data Protection Commissioner. Comme nous avons accordé à Facebook Irlande quatre semaines pour répondre aux préoccupations spécifiques que nous avons détaillées, il n'est pas approprié pour l'instant de lister les actions spécifiques que notre organisme pourrait prendre.»
Rendez-vous donc le 19 octobre…

Vous pouvez retrouver ici le rapport de re-audit du Commissioner irlandais. On y apprend également que Facebook a accepté de suspendre l'utilisation du taguage automatique des photos en Europe.




vendredi 13 juillet 2012

Episode 3 du feuilleton «Publicités Facebook et "intérêts" pour certaines pratiques sexuelles ou les drogues»

La réponse officielle - et décevante - de Facebook à mon enquête sur le ciblage de nos centres d'intérêts pour certaines pratiques sexuelles
ou certaines drogues. Tandis que Benoit Dupont, titulaire de la Chaire de recherche du Canada en sécurité, identité et technologie de l’Université de Montréal, nous met en garde contre l'utilisation de ces données par la police ou les agences de sécurité.



A la suite de la publications de mes découvertes (voir les épisodes 1 et 2 de ce feuilleton) sur le ciblage que Facebook offrait à ses annonceurs en fonction de nos soi-disant centre d’intérêts déclarés pour certaines pratiques sexuelles ou certaines drogues, j’avais interrogé le service de presse de Facebook France afin d’obtenir la réponse officielle du réseau social.

Voici ce que j’ai reçu, par courrier électronique, en guise de réponse :

Veuillez trouver ci-dessous la réponse de Facebook à vos questions concernant la publicité.

Les mots clés qui apparaissent dans notre outil Publicités sont générés automatiquement (sans intervention humaine). Ils reflètent la tendance générale des divers sujets abordés sur Facebook. Pour autant, la présence de ces mots clés n’est pas directement représentative des différents types de publicités pouvant être publiées. Même si certains mots sont utilisés pour mieux cibler les utilisateurs, les annonceurs sont tenus de respecter des règles strictes concernant les publicités qu’ils proposent. La promotion d’activités ou de services illégaux est strictement interdite.


Lors d’un entretien téléphonique, j’ai demandé à Benoît Dupont, professeur agrégé à l’École de criminologie de l’Université de Montréal et titulaire de la Chaire de recherche du Canada en sécurité, identité et technologie de l’Université de Montréal, ce qu’il fallait retenir de tout cela.


Que pensez-vous du ciblage publicitaire proposé par Facebook en fonction de données sensibles comme nos centres d’intérêt pour certaines pratiques sexuelles ou certaines drogues ?

Benoit Dupont : «Ce n'est pas quelque chose de délibéré, c’est le résultat involontaire de l'automatisation de leur système publicitaire. Facebook fait du data mining, de la fouille de données sur tout ce que nous publions sur son site : des logiciels tentent d’analyser nos statuts et nos commentaires pour savoir ce qui nous intéresse.
Mais nous aurions pu penser que cette automatisation avait des limites et que, par exemple, la liste des mots-clés proposée aux annonceurs soit validée par des humains. Votre découverte prouve qu’en fait tout le processus publicitaire est entièrement géré par des robots, sauf, peut-être la vérification finale de certaines publicités.
Cela pose à nouveau un problème que j’ai déjà eu plusieurs fois l’occasion de soulever : le rapport entre le nombre d’utilisateurs de Facebook et le nombre de salariés que compte cette entreprise. Nous sommes 901 millions d’Internautes, à travers le monde, à faire confiance au célèbre réseau, mais celui-ci n’emploie qu’un peu plus de 3 500 personnes*. Jamais aussi peu d’employés ont eu à gérer autant de clients !»

Estimez-vous que ce ciblage puisse se révéler dangereux pour les Internautes ?
B. D. : «Oui et pour deux raisons : ces informations peuvent être accessibles à d’autres organismes que les publicitaires ; et ces informations ne sont certainement pas fiables !
La première raison est que si cette possibilité de ciblage est offerte aux annonceurs, elle est sans doute accessible à des organisations policières ou à des sociétés de sécurité qui pourraient s’en servir pour alimenter des profils. Certes, Facebook ne donne pas directement accès aux noms des personnes qui se sont déclarées intéressées par telle ou telle pratique sexuelle ou par telle drogue illicite. Mais sur ordre de la justice, la police pourrait réquisitionner toutes ces données. Et des sociétés de sécurité peu respectueuses du droit pourraient très bien créer des fausses publicités sur Facebook ciblant ces centres d’intérêts ; ces annonces pourraient contenir un lien vers un site malveillant, permettant de récupérer l’adresse IP de ces Internautes, voire d’installer un logiciel espion sur leurs ordinateurs, permettant de tout savoir de leurs pratiques en ligne.

Ma seconde source d’inquiétude vient de la méthode grâce à laquelle sont identifiés ces centres d’intérêt. Le taux d’erreur doit être important : les machines ont encore beaucoup de mal à interpréter ce que nous voulons transmettre comme sentiments ou comme valeurs. Par exemple, beaucoup d’informations risquent d’être sorties de leurs contextes. Un papa qui s’intéresse à la protection des enfants sur Internet va peut-être parler de pédophilie ou de pornographie. Il risque, très injustement, d’être classé dans ces deux centres d’intérêt ! C’est ce que l’on appelle un “faux positif”. Inversement, les pédophiles, qui ont développé un jargon spécifique pour éviter d’être repérés, deviendront des “faux négatifs” : le système ne les a pas identifiés, alors qu’ils auraient dû l’être !»

La situation peut-elle s’améliorer à l’avenir ?

B. D. «Je ne le crois pas. Les entreprises Internet sont engagées dans une voie sans retour. Elles sont toutes convaincues que grâce à leurs modèles de ciblage, elles peuvent mieux toucher les consommateurs que les publicités dans les journaux ou à la télévision. Et ce sera encore pire lorsque vont s’ajouter, à nos centres d’intérêt, la géolocalisation et la reconnaissance faciale.»

Comment se protéger ?

B. D. «C’est difficile. Premièrement, il est vrai que certaines applications disponibles pour les ordinateurs et les téléphones mobiles permettent de noyer dans un flot de fausses données tout ce que nous publions sur Internet, mais cela demande un effort permanent.

Deuxièmement, si nous allons sur Facebook, c’est le plus souvent pour apparaître sous notre vraie identité, afin d’être reconnu et vu de nos amis.

Enfin, beaucoup d’Internautes se disent que cette exploitation de nos données personnelles - y compris des informations qui peuvent être très sensibles comme notre sexualité ou notre consommation de drogue - est le prix à payer pour avoir accès gratuitement aux services Internet. La plupart de nos concitoyens l’acceptent dans l’indifférence et la passivité. Et dans ce domaine, je ne vois malheureusement pas de révolution à court ou moyen terme.»

Propos recueillis par Jacques Henno
___
Sources :
http://newsroom.fb.com/content/default.aspx?NewsAreaId=22

mardi 19 juin 2012

Pourquoi Facebook a-t-il racheté Face.com

Les outils de reconnaissance faciale mis au point par Face.com devraient permettre au réseau social d'augmenter son audience, sa sécurité et ses… revenus publicitaires.

Facebook a annoncé hier le rachat de l'entreprise israélienne Face.com, spécialisée dans la reconnaissance faciale (voir à ce sujet l'article que j'ai publié la semaine dernière dans le quotidien Les Echos : Les dangers de la reconnaissance du visage).

Depuis décembre 2010, Face.com était derrière la technologie de taguage automatique proposée par Facebook.
Le rachat de ce sous-traitant peut représenter pour Facebook un atout économique et peut contribuer à l'augmentation de son audience, ainsi qu'à la sécurité du site ; enfin, il peut présenter à plus long terme un intérêt publicitaire.

• Intérêt économique : la semaine dernière encore, Facebook indiquait que 250 millions de photos étaient publiées chaque jour sur son réseau. Ce sont désormais 300 millions de nouvelles photos qui y sont affichées quotidiennement. On ne connaît pas exactement l'accord qui liait jusqu'à présent Facebook à Face.com. Mais si le réseau de Mark Zuckerberg versait à son sous-traitant des honoraires proportionnels au volume de photos traitées, il avait sans doute tout intérêt à le racheter plutôt qu'à continuer à lui verser une rente de plus en plus importante ;

• Augmentation de l'audience : depuis le mois dernier, Face.com propose Klik, une application pour iPhone qui permet de taguer automatiquement les photos que l'on prend avec son smartphone Apple, avant même que l'on ne les publie sur Facebook. Or les abonnés qui se connectent à Facebook depuis leurs téléphones portables sont de plus en plus nombreux (500 millions sur 901 millions d'utilisateurs de Facebook au total). Mais jusqu'à présent, il leur était souvent difficile de taguer une photo publiée sur Facebook : ils ne pouvaient le faire qu'une fois connectés au réseau depuis un ordinateur. Au contraire, avec Klik, le taguage, réalisé sur l'iPhone, partira directement avec la photo lorsque celle-ci sera publiée sur Facebook depuis le téléphone. Avantage en termes d'augmentation de l'audience ? Lorsque quelqu'un est tagué dans une photo, il est aussitôt prévenu par le réseau et, généralement, il s'y connecte pour regarder ce cliché. D'où l'équation «un tag = une connexion à Facebook supplémentaire = l'occasion d'exposer la personne taguée à de la publicité = possibilité pour Facebook de gagner de l'argent».

• Sécurité du site : de plus en plus d'ordinateurs et la quasi-totalité des smartphones ou des tablettes tactiles possèdent une caméra. Il serait donc tout à fait possible de demander aux utilisateurs de Facebook de s'authentifier non seulement à l'aide de leur adresse email et de leur mot de passe mais également en se prenant en photo : les outils de Face.com pourront comparer ce cliché avec les photos déjà publiées sur Facebook et s'assurer ainsi qu'il s'agit du bon utilisateur. Ce niveau de sécurité supplémentaire permettrait de remédier au problème des comptes piratés. Enfin, la reconnaissance faciale pourrait également servir, à moyen ou long terme (des prototypes existent déjà : voir Age Meter) à classer les personnes par sexes et par âges. Ce tri par âges pourrait être bien utile à Facebook qui souhaite s'ouvrir aux moins de 13 ans.

• Intérêt publicitaire : les outils de reconnaissance faciale peuvent s'appliquer à d'autres éléments que les visages. Comme me l'expliquait par téléphone, il y a quelques jours, Jason Mitura, P-DG de Viewdleun concurrent de Face.com : «Nous développons des technologies qui peuvent reconnaître des objets.» Comme des voitures, des bouteilles… Cela conforte la prédiction que j’ai réalisée dans mon livre Silicon Valley / Prédateurs Vallée ? : Facebook travaille à une analyse de plus en plus fine des 300 millions de photographies que nous publions chaque jour sur son réseau, afin de repérer les marques qui figurent sur ces clichés, de savoir dans quel contexte ils ont été pris, afin de mieux connaître nos centres d’intérêt et ainsi de nous proposer des publicités ciblées (personnalisées) à chaque fois que nous nous connectons sur ce réseau.

Jacques Henno
Exemple de taguage groupé réalisé avec un des outils proposés par Face.com






mardi 12 juin 2012

J'ai publié ce matin dans les Echos un article sur les dangers de la reconnaissance des visages



Deux cent cinquante millions de nouvelles photos sont publiées chaque jour sur Facebook. Publiées et, de plus en plus souvent, identifiées grâce aux « tags » que remplissent les auteurs des clichés ou leurs amis. Ces tags sont également présents sur Google+, mais aussi sur les sites de partage de photos comme Flickr ou Picasa. Un loisir inoffensif ? Pas forcément…


Pour lire la suite, cliquez sur le lien suivant :

http://www.lesechos.fr/entreprises-secteurs/innovation-competences/technologies/0202106357778-les-dangers-de-la-reconnaissance-du-visage-332619.php


Cet article comprend également des conseils pratiques (que faire sur Facebook et Google + pour se protéger des dangers de la reconnaissance des visages ?) :

mercredi 30 mai 2012

"Facebook Ads and Sexuality / Drugs" - Part 2


The results of my investigation on Facebook ads, which target the interests of Facebook users in certain sexual practices or in drug.

Eleven days ago, I published an article about the strange discovery I had just made: Facebook allows advertisers to target usersbased on their interests - expressed or implied - in certain sexual practicesor in drugs.



I reported my discovery to the CNIL (Commission Nationale de l'Informatique et des Libertés - an independent French administrative authority whose mission is to ensure that data privacy law is applied to the collection, storage, and use of personal data), which confirmed my concerns.  Sophie NerbonneDeputy DirectorLegal, IT and International AffairsCNIL, said during a telephone interview: «this is a use of sensitive data for advertising purposes. Facebook should have collected the approval of its users before using their sensitive data. And the social network cannot hide behind the terms and conditions that must be approved by any new user who signs up for its services: this document is not sufficient to obtain consent prior to the use of sensitive data.»


The Article 29 Data Protection Working Group (G29), which is made up of a representative from the data protection authority of each EU Member State, the European Data Protection Supervisor and the European Commission, recommends even banning all advertising using sensitive data.


I also contacted the Office of the Data Protection Commissioner (ODPC), which, in Ireland, is responsible for the enforcement and monitoring of compliance with data protection legislation. Among European Data protection authorities, the ODPC is specifically responsible for the Facebook case, as the European headquarters of the social network is located in Dublin. Catriona Holohan, Press Officer, Office of the Data Protection Commissioner, answered my questions by e-mail: «the issue of how Facebook-Ireland uses information provided by users to target advertisements was raised during our audit of the company.  […] The relevant extract from the audit report reads: "[…] Facebook-Ireland undertakes to clarify its policy in this respect, which is to allow targeting on the basis of keywords entered by the advertiser but not allow targeting based upon the described categories of sensitive data". * As indicated in the audit report (page 4), we will be formally reviewing implementation of this and other recommendations in July 2012.»

And I sent my text to the Center for Democracy & Technology (CDT) a Washington, D.C. based 501 non-profit organization, which campaigns to enhance free expression and privacy in communications technologies. For Justin BrookmanDirector, Consumer Privacy, CDT, this issue is not clear cut. «In the US we really don't have many substantive privacy laws, so unless Facebook affirmatively promises *not* to target based on these sensitive categories, it's probably legal, at least from a privacy perspective. »

However, Facebook Advertising Guidelines say** (the emphases are mine):
«B.    Attribution
Ad text may not assert or imply, directly or indirectly, within the ad content or by targeting, a user's personal characteristics within the following categories:
i.    race or ethnic origin;
ii.    religion or philosophical belief;
iii.    age;
iv.    sexual orientation or sexual life;
v.    gender identity;
vi.    disability or medical condition (including physical or mental health);
vii.    financial status or information;
viii.    membership in a trade union; and
ix.    criminal record.»




For Justin BrookmanDirector, Consumer Privacy, CDT, Facebook Advertising Guidelines are ambiguous: «I’m not sure of the details of how Facebook advertising platform works, but it may be the case that it's just a platform that Facebook doesn't pre-screen all the potential categories of advertising --- they just organically populate, and they leave it to the developers to *not* target based on potentially offensive categories.  I'm sympathetic to the idea that Facebook shouldn't be legally obligated to pre-screen all potential keywords that might derive --- as long as they don't go out of their way to tell their users that they won't be advertised based on those categories.  However, you could make the argument that by having developer rules in place, FB has some responsibility for enforcing those rules, even absent consumer-facing disclosures.» 

____

Despite my repeated requests since May 16, 2012, Facebook has not answered my questions about this 
targeting based on sensitive categories.


Jacques Henno


____

Sources: 
Page 50 of audit report available on the ODPC website at
http://dataprotection.ie/viewdoc.asp?DocID=1182&m=f

**www.facebook.com/ad_guidelines.php

mardi 29 mai 2012

“Publicités Facebook et Sexualité/Drogue” - Episode 2

Les suites de mon enquête sur les publicités Facebook qui permettent de cibler l’intérêt des internautes pour certaines pratiques sexuelles ou pour la drogue.






J’avais transmis ces informations à la CNIL (Commission Nationale de l’Informatique et des Libertés) qui a confirmé mes inquiétudes. «Il s’agit d’une utilisation de données sensibles à des fins publicitaires, constate Sophie Nerbonne, directeur adjoint des affaires juridiques de la CNIL. L’accord préalable des internautes à l’utilisation de ces données aurait dû être recueilli par Facebook. Et le réseau social ne peut pas s’abriter derrière les conditions générales d’utilisation que doit approuver tout nouvel internaute qui s’inscrit à ses services : ce document ne peut pas suffire pour recueillir le consentement préalable à l’utilisation de données sensibles.» La CNIL insiste sur le fait que le G 29, un groupe de travail qui rassemble les CNIL européennes, voudrait aller encore plus loin : «Il recommande tout simplement l’interdiction des publicités utilisant des données sensibles», cite Sophie Nerbonne.


J’ai également contacté l’équivalent irlandais de la CNIL, the Office of the Data Protection Commissioner. Au sein du G 29, cet organisme est plus particulièrement chargé du dossier Facebook, puisque le siège social du réseau social, est, en Europe, installé à Dublin. «Le problème de la façon dont Facebook-Ireland utilise les informations fournies par ses utilisateurs pour cibler les publicités, a été soulevé lors de notre audit de l’entreprise, rappelle Catriona Holohan, du service communication du Office of the Data Protection Commissioner. […] Voici ce qu’en dit notre rapport : “Facebook a accepté de clarifier sa politique en ce sens, c’est-à-dire de permettre de cibler les publicités en fonction de mots-clés entrés par l’annonceur, mais de ne pas permettre le ciblage en fonction de catégories de données sensibles [définies par la CNIL irlandaise].”*»


Or, en Irlande, sont, entre autres, considérées comme données personnelles sensibles : «la santé ou la condition physique ou mentale de la personne ou sa vie sexuelle». Normalement, Facebook-Ireland a jusqu’en juillet pour se conformer à la demande du Office of the Data Protection Commissioner.


Enfin, j’ai soumis mes recherches au CDT (Center for Democracy & Technology) une ONG de Washington, qui milite pour le respect de la liberté d’expression et de la vie privée par les nouvelles technologies. Pour le CDT, le comportement de Facebook n’est pas clair. «Nous n’avons pas, aux Etats-Unis, beaucoup de lois de fond sur la confidentialité des données, déclare Justin Brookman, responsable, au sein du CDT, de la vie privée des consommateurs. Ce qui fait que, à moins que Facebook affirme qu’il s’engage à ne pas faire de ciblage à partir de ces catégories sensibles, c’est probablement légal, en tout cas du point de vue de la vie privée.»
Or, les règles de Facebook stipulent bien** :
«Le texte publicitaire ne doit pas faire valoir ou impliquer, directement ou indirectement, dans le contenu de la publicité ou en les ciblant, les caractéristiques personnelles d'un utilisateur entrant dans les catégories suivantes :
i. race ou origine ethnique ;
ii. religion ou croyances philosophiques ;
iii. âge ;
iv. orientation sexuelle ou vie sexuelle ;
v. identité sexuelle ;
vi. handicap ou état médical (notamment la santé physique ou mentale) ;
vii. état financier ou informations financières ;
viii. appartenance à un syndicat ; et
ix. casier judiciaire»

Pour l’instant, et malgré mes demandes répétées depuis le 16 mai 2012, Facebook n’a pas répondu à mes questions.

Sources :

vendredi 18 mai 2012

Facebook ads targeted at interests in sexual practices or drugs


Are you interested in zoophilia or cocaine? Facebook will be interested in targeting you!

Facebook proposes target advertising based on our interest in certain sexual practices or drug

Would you like to view an ad on Facebook because you are supposed to be interested in "sex", "oral sex", "anal sex" "sex without penetration," "homosexuality”, "zoophilia", "necrophilia", "exhibitionism”, "masturbation”, "prostitution", "triolisme FFH", "drug", "cocaine, "marijuana" or "methamphetamine"?

Normally, these practices are strictly confidential. Most Facebook competitors ban using sexual practices to target people.

But, on Facebook, it is possible!

The following screenshots show one can publish an ad on Facebook targeted at the 324,360 people, who live in the United State, are 18 and older and like #Cocaine, #Masturbation, #Methamphetamine, #Zoophilia or triolisme ffh!




Facebook says (please, see the screenshot below) it offers two types of interests: precise interests, such as "sex" or "triolisme FFH", which target only people using the terms "sex" or "triolisme FFH" and topics marked with a # (#oral sex, #anal sex, #necrophilia, #zoophilia...) corresponding to users who have used words similar to those selected.



How Facebook can allow itself to target users from their sexual preferences or their interests in Drugs, as it appears on the social network?

How does Facebook find that some users have expressed interests close to homosexuality, masturbation, etc.? Which key words were used to assess those interests ? Is this process reliable?

May this targeting interest federal governmental agencies?  Can the police authorities requisition Facebook databases to discover the identity of the users who posted on Facebook interests close to illegal practices (necrophilia ... ) or illegal substances (cocaine)?

I have sent this text to Facebook, the Center for Democracy and Technology (CDT), the Electronic Privacy Information Center (EPIC) and the Privacy Rights Clearinghouse. I'm waiting for their comments.



Interviewé ce matin sur France Culture

J'ai été interviewé par Abdelhak Elidrissi de France Culture dans le cadre du reportage qu'il a consacré ce matin à Facebook. J'interviens pour parler de l'utilisation du réseau social par les jeunes, mais aussi de la drôle de découverte que j'ai faite sur Facebook : les annonceurs peuvent cibler les internautes en fonction de leurs intérêts pour certaines pratiques sexuelles ou les drogues !


http://www.franceculture.fr/emission-le-choix-de-la-redaction-comment-facebook-a-investi-nos-vies-2012-05-18

mardi 15 mai 2012

Les publicités Facebook ciblent nos préférences sexuelles !

Vous vous intéressez à la zoophilie ou à la cocaïne ? Vous intéressez Facebook !



Facebook propose de cibler les publicités en fonction de notre intérêt pour certaines pratiques sexuelles ou pour les drogues !

Aimeriez-vous recevoir une publicité parce que Facebook vous a identifié(e) comme quelqu’un intéressé par le «sexe», le «sexe oral», le «sexe anal», le «sexe sans pénétration», l’«homosexualité », l’«homosexualité ou les réfrigérateurs» (sic), la «zoophilie», la «nécrophilie», l’«exhibitionnisme», la «masturbation», la «prostitution», le «triolisme», la «drogue», la «cocaïne , le «cannabis» ou la «méthamphétamine» ?

Normalement, ces pratiques relèvent de la plus stricte intimité et non pas à être associées à des publicités. La plupart des concurrents de Facebook s’interdisent d’ailleurs de cibler les internautes en fonctions de leurs préférences sexuelles. Google précise ainsi : «Nous n’associons aucune catégorie de centres d’intérêt sensible à vos cookies ou identifiants anonymes (comme l’origine ethnique, la religion, l’orientation sexuelle, l’état de santé ou toute catégorie de données confidentielles d’ordre financier) ni ne prenons en compte ces catégories lors de la diffusion d’annonces par centres d’intérêt.»*

Et bien, sur Facebook, au contraire, c’est possible !

Lundi 14 mai 2012, en début d’après-midi, je préparais des saisies d’écran pour une conférence que j’allais donner devant des parents le soir même à Saint-Omer (Pas-de-Calais) sur le thème des réseaux sociaux. Je voulais montrer avec quel degré de précision il est possible de cibler l’audience des publicités sur Facebook. Par exemple, s’adresser aux moins de 18 ans habitant dans un rayon de 80 kilomètres autour de Saint-Omer et s’intéressant au Coca-Cola. Alors que je tapais les lettres « Coc… », au lieu du Coca, Facebook m’a suggéré « Cocaïne » comme centre d’intérêt précis, ainsi que «méthamphétamine» et  «masturbation».

Surpris, et pris par la préparation de mon intervention du soir, j’en restais là. Mais dès le mardi matin, je retournais dans l’outil qui permet, à n’importe quel utilisateur de Facebook, d’élaborer ses propres publicités sur ce réseau social. Et je tapais d’autres mots-clés suggérant des habitudes qui ne regardent que nous. Puis, je réalisais les saisies d’écran suivantes, qui prouvent, que, selon Facebook, il est possible d’envoyer une publicité aux 30 980 Français majeurs qui ont exprimé des intérêts proches de la « cocaïne ». Ou aux 3 420 qui ont exprimé des intérêts proches de la «zoophilie» ou de la «nécrophilie».
___________________________________________________________________________En effet, Facebook précise (voir saisie d’écran ci-dessous) qu’il propose deux types de centres d’intérêt : les sujets précis, par exemple « sexe » ou « triolisme », qui ne ciblent que les personnes utilisant les termes « sexe » ou « triolisme » ; et ceux précédés d’un # (#oral sex, #anal sex, #necrophilia, #zoophilia…) correspondant à des utilisateurs ayant utilisé des termes proches de ceux sélectionnés. Pour en avoir le cœur net, j’ai suivi la procédure jusqu’au bout et j’ai investi 4 euros dans la création d’une publicité qui sera diffusée par Facebook aux 9 420 internautes «ayant exprimé [toujours selon Facebook] des centres d’intérêts proches» de la «zoophilie», de la «nécrophilie», de l’«exhibitionnisme», du «fétichisme sexuel», de l’«héroïne», de la «méthamphétamine». Facebook m’a même proposé d’étendre l’audience de ma publicité aux personnes ayant des centres d’intérêts proches de la «pédophilie» (voir saisies d’écran ci-dessous) !Deux questions se posent alors : tout d’abord, comment Facebook peut-il s’autoriser à cibler les internautes en fonction de leurs préférences sexuelles telles qu’elles apparaissent sur le réseau social ou de leurs intérêts pour certaines drogues ?Et ensuite, comment, précisément, Facebook a-t-il déterminé que certains internautes ont exprimé des intérêts proches de l’homosexualité, de la masturbation, etc ? Quels mots ont été utilisés ? Ce ciblage est-il fiable ?

On peut espérer qu’aucun annonceur ne sera tenté de cibler des internautes en fonctions de leurs intérêts - ces «intérêts», je le précise une fois de plus, ayant été déterminés par Facebook selon une méthode que l’on ne connaît pas - pour certaines pratiques sexuelles ou pour des drogues.
Mais ce ciblage pourrait intéresser d’autres organismes  :  la police peut-elle, sur ordre d’un magistrat, réquisitionner les fichiers de Facebook pour connaître l’identité des internautes ayant affichés sur Facebook des centres d’intérêts proches de pratiques illégales (nécrophilie…) ou de substances illégales (cocaïne) ?

J’ai transmis ces informations à la CNIL (Commission Nationale de l’Informatique et des Libertés) et à Facebook. J’attends leurs réactions.


---