(suite de la partie I) Focus sur les informations des métadonnées : que sont-elles et pourquoi sont-elles si importantes ?

 
Comme écrit dans la première partie (La Révolution du nouveau règlement e-privacy), il s’agit d’abord de savoir de quoi l’on parle. Dans « General Data Protection Regulation« , il y a DATA. En droit : la data est une « information » ou un « message ». Et qu’on le veuille ou non, depuis la nuit des temps, les problématiques autours des messages sont toujours les mêmes : comment les transporter ? Comment les stocker ? Comment les préserver ? Comment les sécuriser ? Comment s’assurer que… ?
 
Les révolutions techniques autour de l’information ont d’abord entrainé l’apparition d’un support à ladite information, puis le transport physique dudit support, avec tous les problèmes de confidentialité inhérents. En règle générale, dans les états de droit, ledit droit ne protège que le contenu d’une correspondance, et non son support ou les informations contextuelles qui en découlent. Ainsi lorsque vous mettez une lettre dans une enveloppe et que le tout est envoyé à un destinataire (indépendamment du mode d’envoi), le texte de votre lettre est considéré comme un contenu protégé par le secret des correspondances. Par contre, les métadonnées (soit l’adresse et les éventuelles instructions de transport) ne le sont pas. Ce qui pose soucis, car en matière de services digitaux, les informations relatives au transport de la data sont extrêmement nombreuses, souvent bien plus nombreuses que les informations du message lui-même.
 
Prenons le transfert de données par protocole TCP / IP (ou Transmission Control Protocol / Internet Protocol). Tous les échanges du Web actuel reposent sur ces standards: leur importance et leur utilité sont significatives. Avec ces standards, les métadonnées sont l’ensemble des informations techniques qui permettent l’échange d’informations entre services digitaux (notamment des messages électroniques). Ainsi, selon le protocole, les informations d’un message sont intégrées dans un paquet TCP, et chaque paquet TCP est inclus dans un paquet IP (les deux paquets contenant évidemment des métadonnées). Lorsque le réseau de transport change, le paquet IP est ouvert puis intégré dans un nouveau paquet TCP (par exemple quand on passe d’un routeur à un autre).
 
Tout cela est invisible pour les utilisateurs (ces opérations techniques se réalisent en quelques millisecondes), mais chacune de ces opérations génère encore des métadonnées (et pas qu’un peu). Alors si le contenu d’une transaction électronique peut être défini par la question QUOI, les métadonnées apportent les réponses au COMMENT, QUAND, OÙ et … au QUI ! Et c’est là que le bât commence à blesser, car le QUI est une donnée personnelle. Mais comment définir un QUI avec des métadonnées ? Avec une adresse IP, pardi !
 
L’Internet Protocol version 4 (ou IPv4) est la première version d’Internet Protocol (ou IP) à avoir été largement déployée, et qui forme encore de nos jours la base de la majorité des communications sur Internet, avec l’IPv6. Chaque interface d’un hôte IPv4 se voit attribuer une ou plusieurs adresses IP codées sur 32 bits. Au maximum 4 294 967 296 (soit 232) adresses peuvent donc être attribuées simultanément en théorie (en pratique, un certain nombre ne sont pas utilisables). L’épuisement des adresses IPv4 a donc conduit au développement d’une nouvelle version d’IP, la version 6, et à la transition d’IPv4 vers IPv6 afin d’adopter cette nouvelle version. Le manque d’adresse IPv4 est dans un premier temps contourné grâce à l’utilisation de techniques de traduction d’adresses (NAT) ainsi que par l’adoption du système CIDR (ou Classless InterDomain Routing, pour regrouper plusieurs réseaux de classe C en un seul bloc d’adresses).
 
Le nombre d’adresses IP Version 4 publiques est arrivé officiellement à saturation le 3 février 2011. Un grand nombre de blocs d’adresses sont naturellement détenus par les fournisseurs d’accès internet (ou FAI). Ainsi à un temps T lesdits FAI savent comment leurs pools d’adresses IP sont alloués (NAT) et à qui ils facturent l’utilisation desdites adresses. Ce qui veut dire qu’il suffit de demander aux FAI les logs de leurs routeurs pour commencer à disposer d’un certain nombre d’informations utiles sur le QUI ?
 
Presque. D’abord les FAI gardent jalousement ces données et ne les partagent qu’avec les autorités en place (sur injonction, en règle générale). Si d’aucun désirait collecter les données lui-même (ce qu’il est toujours possible de faire), il devra compter avec la réallocation des adresses IP, ce qui n’aide pas à la traçabilité (loin s’en faut). L’adresse IP est loin d’être la panacée en tant que telle et sous cette forme, mais elle « fait le job », comme on dit et pour l’instant. Aussi, en attendant IPv6 pour tout le monde, et pour améliorer leur compréhension, beaucoup de fournisseurs de services utilisent notamment des « cookies » (ou petit fichier contenant des informations de traçage) pour compléter leurs vues, voire pour reconstruire (pour les meilleurs d’entre eux) le profil complet de leurs utilisateurs. D’autres fournisseurs se passent carrément de l’adresse IP en contraignant leurs utilisateurs à se connecter spécifiquement sur leurs serveurs privés (et donc à s’authentifier), ce qui leur permet de complètement prendre la main sur toutes les métadonnées et de s’appuyer sur un ID unique discriminant. Cet ID unique va être utilisé en permanence pour compléter la compréhension contextuelle de l’utilisateur, à savoir (a minima et en tout temps) :
 

  • QUI opère la transaction (avec le fournisseur de service) ?
  • QUAND a débuté la session, quand a commencé la transaction, quand s’est finie la transaction, quand s’est terminée la session ?
  • COMMENT s’est déroulée la transaction et quel a été son résultat (succès, échec, raison), et ce pour chaque étape ?
  • est allé l’utilisateur durant la transaction (d’où vient-il, quelle séquence a-t-il suivi, où est-il allé après la transaction, etc.) ?

 
En recoupant plusieurs métadonnées, il devient dès lors possible de construire un profil digital relativement fidèle de la personne. De nos jours, il n’est même plus nécessaire de se connecter pour se faire « alpaguer » : tous les faits et gestes sont « épiés » grâce notamment aux cookies. C’est d’autant plus vrai que les publicités sont de plus en plus ciblées, signe que les informations collectées sont de plus en plus fines et sûres. Alors en partant de l’adresse IP, même si ce n’est qu’une information parmi d’autres, on peut déjà faire beaucoup.
 
Mais avec IPv6, on passe à tout autre chose: non seulement chaque être vivant sur terre peut disposer d’une adresse IP unique et permanente, mais aussi tous les objets, toutes les plantes… Avec une adresse IP devenue unique et permanente, tout sera plus facile (ou plus cauchemardesque, c’est selon) pour tous les acteurs (consommateurs et fournisseurs de services) et cela devrait rendre les FAI encore moins attractifs qu’ils ne le sont déjà maintenant (à savoir de simples « tuyaux », mais si le futur n’est jamais écrit). Rappelons-nous que depuis les années 1990, les FAI ont réussi à nous faire croire que l’adresse IP était un simple numéro technique alors que le numéro de téléphone était historiquement déjà reconnu comme une donnée personnelle (détail croustillant sachant que certains de ces FAI étaient – et le sont encore – des opérateurs téléphoniques) !
 
Or c’est précisément la technique de l’adresse IP qui fournit une information concernant une personne physique identifiée ou identifiable, tout comme le numéro de téléphone fixe ou mobile le fait actuellement. Elle fournit une « information concernant une personne physique identifiée ou identifiable » et se trouve être bel est bien disponible pour l’opérateur, ce qui est la définition précise d’une donnée à caractère personnel au sens de la GDPR (ou General Data Protection Regulation).

 

Suite dans le prochain post: (partie III) obligations et contraintes pour une entreprise

Vos données ont de la valeur !

La Data Intelligence est destinée aux gestionnaires, décideurs et dirigeants d’entreprise. Il s’agit de la mise en œuvre des moyens, outils et méthodes destinés à fournir l’information utile pour décider et agir en toute connaissance de cause. Mettez-toutes les chances de votre côté en vous appuyant sur des professionnels de la donnée.

Les experts CALYPS sont là pour vous aider