J’ai découvert l’application « Pro Notes » cette année, n’ayant pas d’enfant je suis passé totalement au travers….
Dû coups je me demande pas trop comment ils font j’ai déjà un début de réponse….
Un petit tlpl svp?
Les publicitaires font main basse sur les données des élèves partout dans le monde
Human Rights Watch a analysé durant deux ans 164 outils numériques destinés aux élèves de 49 pays durant la pandémie afin qu’ils puissent continuer à suivre leurs cours. 89 % « surveillaient les enfants, secrètement et sans le consentement de leurs parents ».
La pandémie a permis aux publicitaires du numérique de mettre la main sur les données personnelles de dizaines de millions d’enfants du monde entier, révèle un rapport rendu public mercredi 25 mai par Human Rights Watch (HRW), en collaboration avec EdTech Exposed, un consortium de treize médias, dont Mediapart, coordonnés par The Signal Network et ayant un accès anticipé aux documents.
Durant près de deux années, l’ONG a analysé 165 outils numériques de l’EdTech, terme désignant le secteur des technologies éducatives, officiellement recommandées par les gouvernements de quarante-neuf pays. Et ses conclusions sont désastreuses pour la protection de la vie privée des enfants : dépôt dans leurs appareils de cookies permettant d’espionner leurs activités en ligne, suivi de leur géolocalisation, attribution d’un identifiant publicitaire facilitant leur pistage… L’immense majorité des solutions numériques, qu’elles aient été développées directement par les États ou confiées à des entreprises privées, ont contribué à une surveillance publicitaire rendue obligatoire par le confinement et la fermeture des écoles.
« Sur les 164 produits de EdTech examinés, 146 (89 %) étaient impliqués dans des pratiques relatives aux données qui mettent en danger les droits des enfants, contribuant à les affaiblir ou violant activement ces droits, constate le rapport. Ces produits surveillaient les enfants, secrètement et sans le consentement de leurs parents, collectant des données sur qui ils sont, où ils sont, ce qu’ils font en classe, qui sont leur famille et leurs amis et quel type d’appareil leur famille pouvait se permettre de leur offrir. »
Le rapport issu de ce travail détaille, en 145 pages, l’ampleur de la collecte de données personnelles par les produits de l’EdTech ainsi que les différentes techniques employées.
Attribuer un « identifiant persistant »
L’un des premiers objectifs des entreprises du secteur des technologies publicitaires est de pouvoir identifier le plus précisément possible les internautes afin de pouvoir les suivre lors de leurs utilisations. « Pour savoir qui sont les gens sur Internet, explique le rapport, les sociétés de technologie publicitaire (AdTech) étiquettent chaque personne avec une suite de chiffres et de lettres qui agissent comme un numéro identifiant qui est persistant et unique : il renvoie à un seul enfant ou à ses appareils, et il ne change pas. »
Ainsi, « à chaque fois qu’un enfant se connecte à Internet et entre en contact avec une technologie de pistage, chaque information collectée sur cet enfant – où il vit, qui sont ses amis, quel type d’appareil sa famille peut se permettre de lui offrir – est reliée à l’identifiant associé à lui par une société de l’AdTech, aboutissant au fil du temps à un profil complet. Les données liées de cette manière n’ont pas besoin d’un vrai nom pour être capables de cibler un vrai enfant ou une personne », souligne le rapport.
Ces identifiants persistants peuvent avoir plusieurs buts. Mais certains sont exclusivement dédiés à la publicité. C’est le cas de l’Android Advertising ID (AAID), qui était présent dans 41 des 73 applications étudiées par HRW, soit 56 %. Durant la pandémie, elles ont été officiellement recommandées par 29 gouvernements.
Certaines d’entre elles ne sont pas spécifiquement destinées aux enfants, comme le service de transfert de fichiers Dropbox ou l’outil de travail collaboratif Padlet. Mais trente-trois applications étaient spécifiquement dédiées aux élèves et ont collecté les AAID d’environ 86,9 millions d’enfants. Parmi celles-ci, on retrouve le jeu éducatif de Microsoft Minecraft : Education Edition, officiellement recommandé par l’État de Victoria en Australie mais extrêmement populaire dans des salles de classe du monde entier.
Dans neuf cas (le Ghana, l’Inde, l’Indonésie, l’Iran, l’Irak, la Russie, l’Arabie saoudite, le Sri Lanka et la Turquie), les applications collectant les AAID avaient été développées par les gouvernements eux-mêmes. « Ce faisant, accuse le rapport, ces gouvernements se sont accordé la capacité de pister environ 41,1 millions d’étudiants et d’enseignants uniquement pour de la publicité et de la monétisation ».
En outre, HRW a repéré dix-sept applications récupérant des identifiants encore plus intrusifs car quasiment impossibles à modifier. Huit récupéraient en effet l’adresse MAC Wifi, un identifiant physique attribué à chaque carte wifi des appareils. Ces applications ont été recommandées par treize gouvernements et, parmi elles, figurent certaines des plus populaires : YouTube (recommandé par l’État d’Uttar Pradesh en Inde, la Malaisie, le Nigeria et l’Angleterre), Facebook (recommandé par Taïwan) ou encore Minecraft : Education Edition.
Neuf autres applications collectaient le numéro IMEI (pour International Mobile Equipment Identity) attribué à tout appareil mobile. On retrouve, encore une fois, dans ces outils recommandés par douze gouvernements, des produits particulièrement populaires, comme le système de visioconférence Cisco Webex (recommandé par l’État de Victoria en Australie, le Japon, la Pologne, l’Espagne, la République de Corée, Taïwan et l’État de Californie), la messagerie Telegram (recommandée par la Russie) ou encore Facebook.
Le rapport explique que seules des applications sous Android ont été analysées en raison de la position dominante du système d’exploitation de Google sur le marché et de son architecture plus facile à expertiser que son principal concurrent, l’iOS d’Apple. Mais il précise que « les applications construites pour l’iOS d’Apple peuvent également employer des technologies de pistage de données et cibler ses utilisateurs avec de la publicité comportementale ».
Concernant les sites internet, HRW a découvert que huit avaient recours à une autre technologie d’identification particulièrement efficace : le « canvas fingerprinting ». Celle-ci consiste à dissimuler, dans une page internet, une forme ou un bout de texte que le navigateur lit sans que l’utilisateur s’en rende compte.
Or, chaque ordinateur affichera ces empreintes avec de très légères différences liées à ses composants. De ce fait, « ces images peuvent être utilisées par les annonceurs et d’autres pour assigner un numéro unique à l’appareil de l’utilisateur, qui peut alors être utilisé comme un identifiant singulier pour pister les activités de l’utilisateur sur Internet », explique le rapport. HRW a repéré huit sites internet utilisant le « canvas fingerprinting », dont trois mis en place par des gouvernements – un au Canada et deux en Russie.
Géolocaliser les élèves
L’une des données les plus précieuses pour les entreprises de l’AdTech est la géolocalisation des internautes. Elle peut « révéler des informations sensibles telles que où l’enfant vit et où il va à l’école, les voyages entre les domiciles de ses parents divorcés et les visites au cabinet d’un docteur spécialisé dans le cancer pédiatrique », détaille le rapport. Durant la pandémie, alors que « beaucoup d’enfants apprenaient à distance durant les confinements du Covid-19, la surveillance de leur présence physique par les données de localisation a probablement révélé leurs adresses et les endroits les plus significatifs pour eux », souligne encore HRW.
Or, sur les 73 applications analysées, 22, soit 30 %, « s’accordaient la capacité de collecter des données de localisation précises, ou des coordonnées GPS qui peuvent déterminer à la localisation exacte d’un enfant à 4,9 mètres près ». De plus, ces 22 applications collectaient également « l’horaire de la localisation actuelle de l’appareil, ainsi que la dernière localisation connue de l’appareil – révélant exactement où un enfant est, où il était avant ça, et combien de temps il est resté à chaque endroit ».
Dix de ces applications étaient directement destinées aux enfants, comme Minecraft : Education Edition, et ont collecté les données de localisation d’environ 52,1 millions d’enfants. Quatre applications directement développées par les gouvernements indien, indonésien, iranien et turc ont à elles seules récupéré celles de 29,5 millions d’élèves.
On retrouve également, encore une fois, des applications non prévues pour les enfants mais tout de même recommandées par des gouvernements comme celle de visioconférence Microsoft Teams (recommandée dans l’État du New South Wales en Australie, dans l’État de Bavière en Allemagne, en République de Corée, en Espagne, à Taïwan, en Angleterre et au Texas).
Certaines applications, 18 sur les 73, collectaient également le Wifi SSID, qui correspond au nom du réseau auquel se connecte un téléphone mobile. Avec cette donnée, les entreprises peuvent retrouver la localisation exacte du réseau en question. Parmi les applications utilisant cette technique, on retrouve des géants du numérique comme Microsoft Teams, Cisco Webex, Zoom (recommandé dans l’État du New South Wales en Australie, au Cameroun, au Kazakhstan, en République de Corée, en Roumanie, en Californie, au Texas et en Angleterre), YouTube (recommandé dans l’État d’Uttar Pradesh en Inde, en Malaisie, au Nigeria et en Angleterre), WhatsApp (recommandé dans l’État d’Uttar Pradesh et au Cameroun), Telegram (recommandé au Nigeria) ou encore Facebook (recommandé à Taïwan).
4 comments
Le rapport par human rights watch sans paywall est disponible [ici](https://www.hrw.org/report/2022/05/25/how-dare-they-peep-my-private-life/childrens-rights-violations-governments)
J’ai découvert l’application « Pro Notes » cette année, n’ayant pas d’enfant je suis passé totalement au travers….
Dû coups je me demande pas trop comment ils font j’ai déjà un début de réponse….
Un petit tlpl svp?
Les publicitaires font main basse sur les données des élèves partout dans le monde
Human Rights Watch a analysé durant deux ans 164 outils numériques destinés aux élèves de 49 pays durant la pandémie afin qu’ils puissent continuer à suivre leurs cours. 89 % « surveillaient les enfants, secrètement et sans le consentement de leurs parents ».
La pandémie a permis aux publicitaires du numérique de mettre la main sur les données personnelles de dizaines de millions d’enfants du monde entier, révèle un rapport rendu public mercredi 25 mai par Human Rights Watch (HRW), en collaboration avec EdTech Exposed, un consortium de treize médias, dont Mediapart, coordonnés par The Signal Network et ayant un accès anticipé aux documents.
Durant près de deux années, l’ONG a analysé 165 outils numériques de l’EdTech, terme désignant le secteur des technologies éducatives, officiellement recommandées par les gouvernements de quarante-neuf pays. Et ses conclusions sont désastreuses pour la protection de la vie privée des enfants : dépôt dans leurs appareils de cookies permettant d’espionner leurs activités en ligne, suivi de leur géolocalisation, attribution d’un identifiant publicitaire facilitant leur pistage… L’immense majorité des solutions numériques, qu’elles aient été développées directement par les États ou confiées à des entreprises privées, ont contribué à une surveillance publicitaire rendue obligatoire par le confinement et la fermeture des écoles.
« Sur les 164 produits de EdTech examinés, 146 (89 %) étaient impliqués dans des pratiques relatives aux données qui mettent en danger les droits des enfants, contribuant à les affaiblir ou violant activement ces droits, constate le rapport. Ces produits surveillaient les enfants, secrètement et sans le consentement de leurs parents, collectant des données sur qui ils sont, où ils sont, ce qu’ils font en classe, qui sont leur famille et leurs amis et quel type d’appareil leur famille pouvait se permettre de leur offrir. »
Le rapport issu de ce travail détaille, en 145 pages, l’ampleur de la collecte de données personnelles par les produits de l’EdTech ainsi que les différentes techniques employées.
Attribuer un « identifiant persistant »
L’un des premiers objectifs des entreprises du secteur des technologies publicitaires est de pouvoir identifier le plus précisément possible les internautes afin de pouvoir les suivre lors de leurs utilisations. « Pour savoir qui sont les gens sur Internet, explique le rapport, les sociétés de technologie publicitaire (AdTech) étiquettent chaque personne avec une suite de chiffres et de lettres qui agissent comme un numéro identifiant qui est persistant et unique : il renvoie à un seul enfant ou à ses appareils, et il ne change pas. »
Ainsi, « à chaque fois qu’un enfant se connecte à Internet et entre en contact avec une technologie de pistage, chaque information collectée sur cet enfant – où il vit, qui sont ses amis, quel type d’appareil sa famille peut se permettre de lui offrir – est reliée à l’identifiant associé à lui par une société de l’AdTech, aboutissant au fil du temps à un profil complet. Les données liées de cette manière n’ont pas besoin d’un vrai nom pour être capables de cibler un vrai enfant ou une personne », souligne le rapport.
Ces identifiants persistants peuvent avoir plusieurs buts. Mais certains sont exclusivement dédiés à la publicité. C’est le cas de l’Android Advertising ID (AAID), qui était présent dans 41 des 73 applications étudiées par HRW, soit 56 %. Durant la pandémie, elles ont été officiellement recommandées par 29 gouvernements.
Certaines d’entre elles ne sont pas spécifiquement destinées aux enfants, comme le service de transfert de fichiers Dropbox ou l’outil de travail collaboratif Padlet. Mais trente-trois applications étaient spécifiquement dédiées aux élèves et ont collecté les AAID d’environ 86,9 millions d’enfants. Parmi celles-ci, on retrouve le jeu éducatif de Microsoft Minecraft : Education Edition, officiellement recommandé par l’État de Victoria en Australie mais extrêmement populaire dans des salles de classe du monde entier.
Dans neuf cas (le Ghana, l’Inde, l’Indonésie, l’Iran, l’Irak, la Russie, l’Arabie saoudite, le Sri Lanka et la Turquie), les applications collectant les AAID avaient été développées par les gouvernements eux-mêmes. « Ce faisant, accuse le rapport, ces gouvernements se sont accordé la capacité de pister environ 41,1 millions d’étudiants et d’enseignants uniquement pour de la publicité et de la monétisation ».
En outre, HRW a repéré dix-sept applications récupérant des identifiants encore plus intrusifs car quasiment impossibles à modifier. Huit récupéraient en effet l’adresse MAC Wifi, un identifiant physique attribué à chaque carte wifi des appareils. Ces applications ont été recommandées par treize gouvernements et, parmi elles, figurent certaines des plus populaires : YouTube (recommandé par l’État d’Uttar Pradesh en Inde, la Malaisie, le Nigeria et l’Angleterre), Facebook (recommandé par Taïwan) ou encore Minecraft : Education Edition.
Neuf autres applications collectaient le numéro IMEI (pour International Mobile Equipment Identity) attribué à tout appareil mobile. On retrouve, encore une fois, dans ces outils recommandés par douze gouvernements, des produits particulièrement populaires, comme le système de visioconférence Cisco Webex (recommandé par l’État de Victoria en Australie, le Japon, la Pologne, l’Espagne, la République de Corée, Taïwan et l’État de Californie), la messagerie Telegram (recommandée par la Russie) ou encore Facebook.
Le rapport explique que seules des applications sous Android ont été analysées en raison de la position dominante du système d’exploitation de Google sur le marché et de son architecture plus facile à expertiser que son principal concurrent, l’iOS d’Apple. Mais il précise que « les applications construites pour l’iOS d’Apple peuvent également employer des technologies de pistage de données et cibler ses utilisateurs avec de la publicité comportementale ».
Concernant les sites internet, HRW a découvert que huit avaient recours à une autre technologie d’identification particulièrement efficace : le « canvas fingerprinting ». Celle-ci consiste à dissimuler, dans une page internet, une forme ou un bout de texte que le navigateur lit sans que l’utilisateur s’en rende compte.
Or, chaque ordinateur affichera ces empreintes avec de très légères différences liées à ses composants. De ce fait, « ces images peuvent être utilisées par les annonceurs et d’autres pour assigner un numéro unique à l’appareil de l’utilisateur, qui peut alors être utilisé comme un identifiant singulier pour pister les activités de l’utilisateur sur Internet », explique le rapport. HRW a repéré huit sites internet utilisant le « canvas fingerprinting », dont trois mis en place par des gouvernements – un au Canada et deux en Russie.
Géolocaliser les élèves
L’une des données les plus précieuses pour les entreprises de l’AdTech est la géolocalisation des internautes. Elle peut « révéler des informations sensibles telles que où l’enfant vit et où il va à l’école, les voyages entre les domiciles de ses parents divorcés et les visites au cabinet d’un docteur spécialisé dans le cancer pédiatrique », détaille le rapport. Durant la pandémie, alors que « beaucoup d’enfants apprenaient à distance durant les confinements du Covid-19, la surveillance de leur présence physique par les données de localisation a probablement révélé leurs adresses et les endroits les plus significatifs pour eux », souligne encore HRW.
Or, sur les 73 applications analysées, 22, soit 30 %, « s’accordaient la capacité de collecter des données de localisation précises, ou des coordonnées GPS qui peuvent déterminer à la localisation exacte d’un enfant à 4,9 mètres près ». De plus, ces 22 applications collectaient également « l’horaire de la localisation actuelle de l’appareil, ainsi que la dernière localisation connue de l’appareil – révélant exactement où un enfant est, où il était avant ça, et combien de temps il est resté à chaque endroit ».
Dix de ces applications étaient directement destinées aux enfants, comme Minecraft : Education Edition, et ont collecté les données de localisation d’environ 52,1 millions d’enfants. Quatre applications directement développées par les gouvernements indien, indonésien, iranien et turc ont à elles seules récupéré celles de 29,5 millions d’élèves.
On retrouve également, encore une fois, des applications non prévues pour les enfants mais tout de même recommandées par des gouvernements comme celle de visioconférence Microsoft Teams (recommandée dans l’État du New South Wales en Australie, dans l’État de Bavière en Allemagne, en République de Corée, en Espagne, à Taïwan, en Angleterre et au Texas).
Certaines applications, 18 sur les 73, collectaient également le Wifi SSID, qui correspond au nom du réseau auquel se connecte un téléphone mobile. Avec cette donnée, les entreprises peuvent retrouver la localisation exacte du réseau en question. Parmi les applications utilisant cette technique, on retrouve des géants du numérique comme Microsoft Teams, Cisco Webex, Zoom (recommandé dans l’État du New South Wales en Australie, au Cameroun, au Kazakhstan, en République de Corée, en Roumanie, en Californie, au Texas et en Angleterre), YouTube (recommandé dans l’État d’Uttar Pradesh en Inde, en Malaisie, au Nigeria et en Angleterre), WhatsApp (recommandé dans l’État d’Uttar Pradesh et au Cameroun), Telegram (recommandé au Nigeria) ou encore Facebook (recommandé à Taïwan).