Des données personnelles récoltées sur les sites gouvernementaux

Les sites commerciaux ne sont pas les seuls à recueillir des données sur nos activités personnelles. Partout dans le monde, les gouvernements utilisent, parfois sans le savoir, les mêmes techniques de traçage que les entreprises privées qu’ils tentent de réglementer.

Selon une étude de l’Université Concordia, 37 % des applications Android et 17 % des sites gouvernementaux possèdent des traceurs de Google.

« C’est problématique, car les gens [y] entrent des informations très sensibles, et il n’y a pas de solution de rechange », réagit Nayanamana Samarasinghe, qui a coécrit l’étude. Les utilisateurs peuvent « s’attendre à être suivis [sur les sites commerciaux], puisque rien n’est gratuit. Mais les sites gouvernementaux ne reposent pas sur des revenus publicitaires », soulève-t-il.

Le candidat au doctorat juge la pratique « dangereuse », puisqu’une fois les données collectées, « nous ne savons pas si les traceurs revendent les informations, quel en est le volume et qui les détient. Cela échappe à tout contrôle ».

Certains témoins sont par exemple capables d’enregistrer ce qui est écrit dans un formulaire, sans même que ledit formulaire soit envoyé. Les informations recueillies sur les sites gouvernementaux et les sites commerciaux peuvent ensuite être combinées, pour mieux identifier l’utilisateur. Une compagnie d’assurances pourrait ainsi connaître l’état de santé d’un citoyen qui l’aurait préalablement décrit dans un formulaire gouvernemental.

Le chercheur précise toutefois ne pas avoir identifié ce genre de traceur au Canada.

 

Et au Québec ?

Un an après les expériences, M. Samarasinghe a relevé au moins deux sites au Canada qui utilisent encore des traceurs, dont un au Québec.

Lorsqu’un utilisateur se rend sur le site Internet d’Épargne Placements Québec (EPQ), sans même se connecter à un compte, un témoin de YouTube, qui appartient à Google, trace ses données.

Cela s’explique par la présence d’une vidéo YouTube intégrée sur la page d’accueil du site Internet. « Bien que ces cookies puissent être utilisés à des fins légitimes, comme partager une vidéo », M. Samarasinghe estime « que le gouvernement devrait éviter toute dépendance à des tierces bibliothèques ».

Contacté par Le Devoir, le ministère des Finances a rapidement réagi aux constats du chercheur. « EPQ prend les mesures nécessaires pour ne plus permettre les témoins installés par YouTube lorsque les citoyens veulent visionner les vidéos promotionnelles à partir du site », a indiqué par courriel le conseiller en communication du ministère, Philippe Bérubé. « Il n’y a aucun enjeu de sécurité informatique et de protection des renseignements personnels », a-t-il ajouté.

Le site Internet de la Société canadienne d’hypothèques et de logement (SCHL) comporte quant à lui un cookie de Twitter, qui expire en 2039. En France, la Commission nationale de l’informatique et des libertés recommande que la durée de vie des traceurs ne s’étende pas au-delà de treize mois.

Elle aussi contactée par Le Devoir, la SCHL a indiqué par courriel ne pas recueillir « de renseignements personnels ou de nature délicate au moyen du témoin Twitter. L’utilisation de cette fonctionnalité Twitter est liée à l’expérience des utilisateurs, en leur offrant la possibilité de partager facilement notre contenu » sur le réseau social.

L’agence fédérale précise que « la plupart des navigateurs permettent […] d’activer ou de bloquer les témoins » et dit songer à intégrer une « fenêtre contextuelle d’acceptation ou de refus » des traceurs.

Mais même avec une extension de navigateur bloquant les traceurs, certains passent à travers les mailles du filet. « Il n’existe pas de solution efficace à 100 % en ce moment, encore moins pour les personnes qui s’y connaissent peu en informatique », indique le chercheur.

Une pratique non intentionnelle

 

M. Samarasinghe précise que les traceurs ne sont pas toujours placés volontairement par les gouvernements.

Selon le budget alloué au développement d’un site ou d’une application, les États peuvent faire appel à des firmes sous-traitantes, qui utilisent le même gabarit que pour des sites commerciaux. Les développeurs et les gouvernements ne seraient ainsi pas toujours « au courant » de ces failles de sécurité.

Volontaire ou non, il demeure que la pratique est contradictoire, estime le chercheur. « Les gouvernements imposent des règlements pour que les entreprises commerciales s’assurent que les informations personnelles des utilisateurs sont protégées, mais ils ne regardent pas à l’intérieur [de leurs propres sites] », soulève M. Samarasinghe, qui juge que la présence de traceurs dans l’Union européenne et en Californie, où les règles sont plus strictes, est d’autant plus paradoxale.

« En plus de sensibiliser [les gouvernements et les développeurs], nous aimerions qu’ils prennent au sérieux ce genre de questions et qu’ils examinent minutieusement leurs sites comme ils le font pour les sites commerciaux, [et ce,] dans l’intérêt de leurs propres citoyens. »

Ce contenu est réalisé en collaboration avec l’Université Concordia.