Forestill deg. En morgen du våkner åpner du SBB-appen for å bestille togbillett, men kjøpet går ikke igjennom. I stedet vises en feilmelding: du gir ikke tilstrekkelige garantier med hensyn til soliditet, selv om du ikke har en eneste ubetalt faktura. Du prøver igjen neste dag, så neste dag… Ingenting skjer: nå er du fratatt en transaksjon. Dette uhellet, rapportert av SRFPhilipp B. opplevde det i 2020.
Hva skjedde? Det viser seg at SBB vurderer kundenes kredittverdighet gjennom Intrum, et inkassoselskap basert på en husholdnings «negative kredittverdighet». To opplysninger brukes for å identifisere dårlige betalere: adresse og etternavn. Og hvis Philipp ikke er en slapp, var det heller ikke sønnen hans, som nylig forlot familiens hjem.
Dermed har systemet feilaktig tildelt sønnens kredittscore til faren. Det var nødvendig å kontakte Federal Delegate for Data Protection and Transparency (PPFDT) – «politimannen» i konføderasjonen i denne saken – slik at selskaper i sektoren definitivt kunne få slutt på denne praksisen og forenkle tilgangen til klientene som er ofre for feil.
Total varighet av prosedyren: tre år.
«I Sveits er datameglere litt tabu»
Utenfor vårt syn samler, behandler og videreselger selskaper våre data. Vi kaller dem datameglereeller personopplysningsformidlere. «Datameglere i Sveits er fortsatt en tabu sektor», kommenterer Sylvain Métille, professor ved Universitetet i Lausanne og spesialist i databeskyttelse. Det finnes forskjellige typer datameglerespesialisert seg på alle typer data og aktivitetssektorer: aktører innen digital markedsføring og målrettet reklame ofte ukjent for allmennheten (Cambridge Analytica-skandalen løftet delvis sløret i 2018), nettkataloger som samler offentlig tilgjengelig informasjon om et selskap eller en person . , innsamlingsselskaper spesialisert på innsamling av finansiell informasjon mv.
I Sveits er vurderingen av finansiell soliditet fordelaktig av fortrinnsbehandling: det er ikke nødvendig å innhente samtykke fra personen hvis data behandles, forklarer Sylvain Métille. «Det er en logikk av offentlig interesse foreskrevet ved lov, å hindre insolvente mennesker fra å hindre tilgang til dataene deres.forklarer han. Dataene må imidlertid være mindre enn 10 år gamle, personen må være myndig og de generelle prinsippene i personvernloven (forholdsmessighet, formål osv.) skal respekteres.
Og for overføring av disse dataene til tjenesteleverandører? «I henhold til den nye databeskyttelsesloven som trådte i kraft i september 2023, skal interesserte personer i prinsippet informeres innen 30 dager, enten av selskapet som overfører dataene eller av dataformidleren. som anskaffer dem.»fortsetter advokaten.
Når såkalte «sensitive» personopplysninger behandles, må det innhentes uttrykkelig samtykke. Listen deres er fastsatt ved lov: religiøse, filosofiske, politiske eller fagforeningers meninger og aktiviteter, person- eller helseopplysninger, sosiale hjelpetiltak og til slutt mulige straffesaker eller administrative saksganger.
Til tross for denne sikringen er det mulig å etablere svært påtrengende profiler, fordi brukbare data er utallige. Det er sporene vi legger igjen i butikker eller på Internett: sosiale nettverk, nettsøk, antall besøk på denne eller den siden, transaksjoner… Det er også smarttelefonen, som følger oss overalt og har visst i lang tid: turer, aktiviteter på sosiale nettverk, til og med detaljer om intimt liv. Applikasjonene som er installert der har en tendens til å «snippe» fra tredjeparter, av alle slags mer eller mindre legitime årsaker: publikumsmåling, krasjrapportering, informasjonsinnsamling for målrettet annonsering, etc.
«Det kan lages et veldig nøyaktig portrett av meg og min familie, noe som utgjør en invasjon av mitt privatliv, men dessverre utgjør det ikke en ulovlig invasjon i sveitsisk lovs øyne.»oppsummerer en advokat spesialisert i personopplysningsrett, en stor ekspert i sektoren.
Informasjonskapsler og applikasjoner
«For all behandling av personopplysninger, selv gjennom mobilapplikasjoner, er det obligatorisk at personen som er ansvarlig for behandlingen er tydelig identifisert for loven», minnes Sylvain Métille. Faktisk bruker utviklere i økende grad SDK-er (Programvareutviklingssett), blir bibliotekene levert nøkkelferdige… med fare for å miste kontrollen.
«Dette tilsvarer blokker og vinduer for programmerere, som slipper å måtte finne opp hjulet på nytt hver gang»forklarer Esther Onfroy, datasikkerhetsekspert. SDK-er er svarte bokser, allerede kompilerte blokker med programvare. Men for å vite hva som er på innsiden, må vi stole på skapernes ord …»
For å være tydelige, må vi åpne de svarte boksene. Og for å gjøre dette, kjør hver applikasjon i en slags digital testbed for å analysere innkommende og utgående datastrømmer. Dette er hva prosjektet gjør. Exodus Personvernopprettet i 2017 av Esther Onfroy, som lar alle teste sine Android-applikasjoner for å avsløre informasjonskapsler, og klassifisere dem i flere kategorier: feilrapport, analyser, annonsering, geolokalisering… Plattformen viser også autorisasjonene som er forespurt på telefonen: mikrofon, GPS, kamera, for eksempel. Selskapet HestiaLabs, opprettet i Genève av matematikeren Paul-Olivier Dehaye, utvikler sammenlignbare verktøy.
Disse uavhengige evalueringene er avgjørende for å verifisere bedrifters påstander om databehandling. Som noen ganger er overraskende. I 2022 deaktiverte Google nedlasting av dusinvis av apper, inkludert populære muslimske bønneapper, etter oppdagelsen i en målrettet markedsførings-SDK av kodelinjer ment å lekke sensitive data for å amerikansk etterretning.
Møter av den tredje typen
Sektoren utmerker seg ved sin opasitet. I 2020 testet Forbrukertilsynet 10 svært populære mobilapper, inkludert datingapper (Tinder, GrindR, OKCupid, Happn). I sin forholdlister opp hundrevis av skyggefulle aktører som samler inn data (geolokalisering, kjønn, seksuelle preferanser, mobil-ID osv.) fra brukere uten deres viten.
I Europa er denne praksisen i strid med General Data Protection Regulation (GDPR), som krever eksplisitt samtykke fra brukere når dataene deres overføres til tredjeparter. De tar også opp et problem i Sveits: Federal Protection Officer hadde vært det beslaglagt i slutten av 2020 på datingappen Oncedesignet av en Schwyz-basert oppstart, som ikke tillot brukere å slette dataene sine.
Undersøkelsen viste også at selskapet overførte data til eksterne tjenesteleverandører uten tydelig advarsel til brukerne, og at det ikke sikret at bruken forble innenfor rammen av den forespurte tjenesten, noe som imidlertid er et juridisk imperativ. Det sveitsiske selskapet godtok agentens forslag ved slutten av prosedyren i 2023…men den vil ikke kunne bruke dem selv, siden den ble kjøpt i 2021 av den internasjonale giganten Dating Group.
Et ugjennomsiktig datamarked
Dette viser at datavirksomheten er ugjennomsiktig, siden suksessive internasjonale oppkjøp kompliserer overvåkingen ytterligere. «Sporerne vi identifiserer med Exodus Privacy er bare toppen av isfjelletadvarer Esther Onfroy. Fordi datameglere kan videreselge data til andre selskaper, gjennom for eksempel denne typen portaler. For ikke å nevne, digital data kan enkelt kopieres og selges online til høystbydende på det mørke nettet takket være piratkopiering.»
En aktivitetssektor der også sveitsiske selskaper opererer. I 2021 online anmeldelse. Das Netz Ist politisch bemerket, i den norske rapporten om datingapper for 2020, en henvisning til 42saker. Denne ETH-oppstarten har siden endret sin forretningsmodell, men fungerte i det minste frem til 2019 som en datamegler, som lar kundene deres målrette mot brukerne av denne eller den mobilapplikasjonen… og dette uten å måtte innhente deres eksplisitte samtykke. Helt lovlig, i dette tilfellet.
Dette smutthullet er avhengig av mobilidentifikatoren, unikt tildelt hver smarttelefon for å spore utviklingen av visse atferder over tid. Brukt for annonseringsmålretting anses de ikke som sensitive personopplysninger eller profilering i henhold til sveitsisk lov. «Annonsøren kjenner ikke identiteten til personen de sender denne eller den annonsen til»spesifiserer spesialisten Sylvain Métille, for å forklare denne nysgjerrigheten.
David mot Goliat i datalandet
I EU er slik behandling forbudt med mindre det er et juridisk grunnlag som brukerens uttrykkelige samtykke. I Sveits er filosofien motsatt: praksisen er autorisert, med mindre den bryter med et av prinsippene i databeskyttelsesloven (DPL). Det er fortsatt nødvendig for skadelidte å bevise det. Og bedrifter kan argumentere for at det er en overordnet offentlig eller privat interesse som rettferdiggjør deres praksis, forklarer Sylvain Métille. «Det må bevises at behandlingen var uforholdsmessig eller ble utført uten deres viten. For bedrifter er dette en fordel, fordi ofte kommer denne begrunnelsen i ettertid.»
I praksis er det en utfordring å håndheve gjeldende lov, forklarer Esther Onfroy, som fremfor alt ser på det som et politisk problem. «Det er hundretusenvis av nedlastbare apper i Europa som er i stand til å samle inn personopplysninger, og private aktører har mange flere ressurser enn de nasjonale strukturene som er ansvarlige for å kontrollere dem. (som forbundsrepresentanten i Sveits, red.anm.)..»
«Spørsmål knyttet til personopplysninger er immaterielle, både for enkeltpersoner og selskaper, som vil ha en tendens til å bli avvist på grunn av uvitenhet, Hun fortsetter. Tilsynsmyndighetene vil på sin side si at det er opp til innbyggerne å utøve sine rettigheter – til tilgang, opposisjon osv. – overfor selskaper.
Handlingen må være kollektiv, ikke individuell, ellers er kampen tapt på forhånd.»
Men hvis GDPR åpner døren til gruppehandlinger for domstolene tillater ikke sveitsisk lov, selv i sin nye versjon, det.
François Charlet, forfatter av arbeid om databeskyttelse i Sveits, fordømmer også det uforholdsmessige maktforholdet. «Kunder har absolutt rett til å få tilgang til data som angår dem. Men selskaper eller føderale byråer vil gi verken mer eller mindre enn informasjonen som kreves av loven, og det er den eneste gratis informasjonen. For å gå videre og sjekke om de snakker sannheten, vil det være nødvendig å gå gjennom sivile, administrative eller til og med straffesaker…»
For advokaten vil den eneste levedyktige løsningen i stor skala være «demonetisere» endelig personopplysninger. «Så lenge folk er villige til å betale for «gratis» tjenester, som å laste ned et mobilspill, med dataene deres i stedet for penger, vil den nåværende modellen vedvare., analysere. Og den parallelle dataindustrien vil kunne fortsette å trives.
«Internettlærer. Problemløser. Utforsker. Musikkfanatiker. Ekstrem twitterfanatiker. Skaper.»