Depuis quelques temps, la souveraineté numérique est devenue la vache à lait des consultants. La raison en étant certainement une augmentation des budgets publics consacrés au sujet. C’est une bonne chose. La souveraineté numérique, si elle est bien faite, devrait naturellement vous emmener vers de la robustesse numérique.
Dans le même temps, Linkedin vous sur-incite à faire votre « vérification » de profil. On pourrait penser que ça n’a rien à voir. Et pourtant…
Des sollicitations invasives et permanentes
Il est difficile de résister à l’appel de la vérification de profil par Linkedin/Microsoft tant ses sollicitations sont nombreuses, que ce soit en bannière de pub ou sur votre profil « ajouter un badge de vérification ». Du véritable harcèlement marketing (mais j’ai pas craqué).
Les arguments de vente de cette vérification sont d’ailleurs irrésistibles. Ce badge permettrait en effet :
- d’afficher votre authenticité (quoique ça veuille dire)
- établir des relations de confiance (… de confiance dans les gens qui font confiance à Microsoft)
- d’obtenir en moyenne 60% de vues du profil en plus (d’après Microsoft, LOL)
- d’obtenir 50% d’engagement en plus en moyenne (d’après Microsoft, re-LOL)
N’en jetez plus Microsoft, je signe où ? … Quoi ? Votre produit est gratuit ?
Mais alors, elle est où l’arnaque ? (réaction saine d’un utilisateur expérimenté des produits Microsoft)
La voilà l’arnaque…
La vérification de vos DATAS
Pour vérifier votre compte Linkedin, il faut scanner votre ID ou passeport. Vous pensez l’envoyer à Linkedin ? Première erreur. Vous l’envoyez en réalité à la société Persona.
Pour ma part je n’ai pas lu les 18 pages de la privacy policy et les 16 pages des terms of service de Persona. Mais lui oui. On y apprend que lors de votre vérification d’identité qui vous a pris 3 minutes, la société Persona récupère :
- Vos noms, prénoms complets
- La photo de votre passeport : le document en entier, des deux côtés
- Un selfie de vous : pris en temps réel
- Votre géométrie faciale : vos données biometriques extraites pour faire correspondre le selfie avec la photo du passeport
- Dans le cas d’un passeport avec NFC : les données de la puce
- Votre numéro d’ID national
- Votre nationalité, sexe, anniversaire, age
- Votre e-mail, numéro de tel, adresse postale
- Votre adresse IP, type de materiel, adresse MAC? browser, version d’OS, langage,
- et évidement, votre géolocalisation (via votre IP)
On pourrait aussi se dire que ce n’est pas trop grave. De toutes manières, Microsoft avait déjà ces datas. Sauf que Persona ne va pas simplement absorber vos datas, il va les cross-checker avec des “tiers de confiance” (oui, la confiance est une valeur subjective de nos jours), du genre :
- Bases de données gouvernementales
- Registres nationaux d’identité
- Agences de crédit à la consommation.
- Fournisseurs de services public
- Opérateurs de téléphonie mobile
- Bases de données d’adresses postales
Caché à la page 6 des privacy policy, sous “legitimate interests”, on apprend que Persona utilise vos photos de passeports pour entrainer leurs IA.
D’après eux, ils apprendraient à leur modèle à reconnaitre les différents types de passeports. Ils utilisent également vos selfies pour “améliorer leurs services”, quoique ça veuille dire.
Vous imaginiez ça quand vous avez voulu récupérer le petit bouclier de vérification pour montrer votre profil à tous les passants ?
Le partage de vos datas
Mais en fait, où sont parties vos informations ?
Chez Linkedin/Microsoft bien-sûr, mais aussi chez tout l’écosystème de Persona (affiliés, acheteurs de profils, partenaires, etc.), etc.
Et dans la liste de “subprocessors” de Persona, on a quelques surprises : Anthropic, OpenAI, Groqcloud, AWS, Google Cloud Platform, Resistant AI, FingerprintJS, MongoDB, Snowflake, Elasticsearch, Confluent, DBT, Sigma Computing,Tableau, Stripe, Twilio, Persona Identities Canada.
En gros, toutes ces sociétés vont faire de l’extraction de vos données pour analyse. Mais expliquez-moi pourquoi Stripe devrait faire du traitement de ma carte de crédit pour vérifier mon profil Linkedin ?
Souveraineté bien ordonnée…
Et puis, dans ces 17 entreprises qui s’amusent avec vos datas, 16 sont américaines (et une canadienne). Zero européenne.
En résumé, vous scannez votre passeport Européen et vos données vont chez des entreprises américaines. Car même si Persona localise ses serveurs aux USA et en Allemagne, la société est américaine.
Donc vos données sont à disposition des Etats-Unis comme c’est écrit dans le CLOUD Act:
We will access, disclose, and preserve personal data when we believe doing so is necessary to comply with applicable law or respond to valid legal process, including from law enforcement, national security, or other government agencies.
Nous accéderons à vos données personnelles, les divulguerons et les conserverons lorsque nous estimerons que cela est nécessaire pour nous conformer à la loi applicable ou pour répondre à une procédure judiciaire valide, notamment de la part des forces de l’ordre, des services de sécurité nationale ou d’autres organismes gouvernementaux.
Je ne suis pas du tout un expert (pas payé pour ça), mais côté régulation européenne, il semblerait que Persona soit en conformité avec le EU-US Data Privacy Framework (DPF). Le truc qui a remplacé le Privacy Shield en 2020 pour être raccord avec les lois américaines de surveillance. Bref, le truc qui ne vous empêche pas de vous faire piquer vos données par des boites américaines.
En conclusion ?
Tels des chevaliers des temps modernes, des haut cadres administratifs, des consultants en souveraineté numérique ou en cybersécurité exhibent leurs jolis boucliers de vérification sur leurs profils Linkedin.
Des boucliers pour lesquels ils ont offert leurs informations privées à des boites américaines. Tu m’étonnes que les cyberattaques explosent en ce moment. Ce n’est pas qu’à cause de l’IA, c’est surtout à cause de ce genre de bêtise.
Car la vraie souveraineté numérique commence par du (bon) sens.
D’ailleurs, il semble que le CEO de Persona soit plus intelligent que ces chevaliers. Lui n’a pas mis de photo sur son profil linkedin.
Cyril
Sources : l’excellent Rogi de TheLocalStack
Pixelart Nelson utilisé : @GRYFFINCLAWKID
Laisser un commentaire