SOCIETE

Pandémie : des millions d’enfants ont été espionnés à des fins publicitaires

Publié le vendredi 27 mai 2022 à 08:55 | Temps de lecture estimé : 4 min.
0 Likes
      

Durant la pandémie de Covid-19, de nombreux pays ont fait appel à des logiciels éducatifs, des EdTech, pour assurer l’éducation en ligne des élèves. C’est un nouveau scandale dans le registre de la protection des données personnelles. Les publicistes ont profité des confinements successifs pour faire main basse sur les données de millions d’enfants et pour les pister. C’est le résultat d’une enquête réalisée par Human Rights Watch. L’ONG a analysé, pendant deux ans, 164 outils destinés aux élèves de 49 pays afin qu’ils puissent continuer à suivre leurs cours en distanciel. Selon un rapport rendu public ce 25 mai, 89% de ces développements informatiques et plateformes numériques « surveillaient les enfants secrètement et sans le consentement de leurs parents ».

Une collecte massive de données

Ce rapport, intitulé « Violation des droits de l’enfant par les gouvernements qui ont soutenu l’apprentissage en ligne durant la pandémie de Covid-19 »  (Link vers : https://www.hrw.org/report/2022/05/25/how-dare-they-peep-my-private-life/childrens-rights-violations-governments) est fondé sur une analyse technique et politique menée par Human Rights Watch, en collaboration avec plusieurs médias internationaux dont Mediapart, de 164 produits EdTech (technologies de l’éducation) utilisées par 49 pays. 290 entreprises, qui ont toutes collecté, traité ou reçu des données de millions de mineurs depuis mars 2020, ont été screenées.

Le rapport issu de ce travail détaille en 145 pages l’ampleur de la collecte de données personnelles par les différentes techniques employées.« Sur les 164 produits de EdTech examinés, 146 (89 %) étaient impliqués dans des pratiques relatives aux données qui mettent en danger les droits des enfants, contribuant à les affaiblir ou violant activement ces droits, constate le rapport. Ces produits surveillaient les enfants, secrètement et sans le consentement de leurs parents, collectant des données sur qui ils sont, où ils sont, ce qu’ils font en classe, qui sont leur famille et leurs amis et quel type d’appareil leur famille pouvait se permettre de leur offrir. »

Copyright : Human Rights Watch

Un identifiant persistant attribué à l’enfant

L’un des premiers objectifs des entreprises du secteur des technologies publicitaires est de pouvoir identifier le plus précisément possible les internautes afin de pouvoir les suivre lors de leurs utilisations.

« Pour savoir qui sont les gens sur Internet », explique le rapport, « les sociétés de technologie publicitaire (AdTech) étiquettent chaque personne avec une suite de chiffres et de lettres qui agissent comme un numéro identifiant qui est persistant et unique : il renvoie à un seul enfant ou à ses appareils, et il ne change pas. » Ainsi, « à chaque fois qu’un enfant se connecte à Internet et entre en contact avec une technologie de pistage, chaque information collectée sur cet enfant – où il vit, qui sont ses amis, quel type d’appareil sa famille peut se permettre de lui offrir – est reliée à l’identifiant associé à lui par une société de l’AdTech, aboutissant au fil du temps à un profil complet. Les données liées de cette manière n’ont pas besoin d’un vrai nom pour être capables de cibler un vrai enfant ou une personne », souligne le rapport.

Ces identifiants persistants peuvent avoir plusieurs buts. Mais certains sont exclusivement dédiés à la publicité. C’est le cas de l’Android Advertising ID (AAID), qui était présent dans 41 des 73 applications étudiées par HRW, soit 56 %. Durant la pandémie, elles ont été officiellement recommandées par 29 gouvernements.

Des applications connues en cause

En outre, HRW a repéré 17 applications récupérant des identifiants encore plus intrusifs car quasiment impossibles à modifier. Huit récupéraient en effet l’adresse MAC Wifi, un identifiant physique attribué à chaque carte wifi des appareils.
Ces applications ont été recommandées par 13 gouvernements et, parmi elles, figurent certaines des plus populaires : YouTube (recommandé par l’État d’Uttar Pradesh en Inde, la Malaisie, le Nigeria et l’Angleterre), Facebook (recommandé par Taïwan) ou encore Minecraft Education Edition.

Neuf autres applications collectaient le numéro IMEI (pour International Mobile Equipment Identity) attribué à tout appareil mobile. On retrouve, encore une fois, dans ces outils recommandés par 12 gouvernements, des produits particulièrement populaires, comme le système de visioconférence Cisco Webex (recommandé par l’État de Victoria en Australie, le Japon, la Pologne, l’Espagne, la République de Corée, Taïwan et l’État de Californie), la messagerie Telegram (recommandée par la Russie) ou encore Facebook.

Le rapport précise que seules des applications sous Android ont été analysées en raison de la position dominante du système d’exploitation de Google sur le marché et de son architecture plus facile à expertiser que son principal concurrent, l’iOS d’Apple. Mais il précise que « les applications construites pour l’iOS d’Apple peuvent également employer des technologies de pistage de données et cibler ses utilisateurs avec de la publicité comportementale ».

Copyright : Human Rights Watch

Des élèves géolocalisés et pistés

L’une des données les plus précieuses pour les entreprises de l’AdTech est la géolocalisation des internautes. Elle peut « révéler des informations sensibles telles que le lieu où l’enfant vit et où il va à l’école, les voyages entre les domiciles de ses parents divorcés et les visites au cabinet d’un docteur spécialisé dans le cancer pédiatrique », détaille le rapport.

Sur les 73 applications analysées, 22, soit 30 %, « s’accordaient la capacité de collecter des données de localisation précises, ou des coordonnées GPS qui peuvent déterminer à la localisation exacte d’un enfant à 4,9 mètres près ». De plus, ces 22 applications collectaient également « l’horaire de la localisation actuelle de l’appareil, ainsi que la dernière localisation connue de l’appareil – révélant exactement où un enfant est, où il était avant ça, et combien de temps il est resté à chaque endroit ».

Dix de ces applications étaient directement destinées aux enfants, comme Minecraft Education Edition, et ont collecté les données de localisation d’environ 52,1 millions d’enfants. Quatre applications directement développées par les gouvernements indien, indonésien, iranien et turc ont à elles seules récupéré celles de 29,5 millions.

Une réalité niée par les entreprises concernées

 Human Rights Watch a partagé les conclusions de ce rapport avec les 95 entreprises EdTech, 196 entreprises Ad Tech et les 49 gouvernements évoqués dans cette étude. La plupart des entreprises EdTech ont nié avoir collecté les données des enfants, tandis que les sociétés spécialisées en marketing web ont nié savoir que les données qu’ils avaient reçues appartenaient à des enfants. Elles ont même renvoyé la balle à leurs clients, les gouvernements, précisant qu’il était de leur responsabilité de ne pas envoyer de données appartenant à des mineurs.

Après la publication de ce rapport, Human Rights Watch a lancé une campagne mondiale, soutenue par des enseignants, des parents d’élèves, des médias et des associations pour exiger des protections supplémentaires pour les enfants qui apprennent en ligne. « Les entreprises ont la responsabilité de respecter les droits des enfants, peu importe d’où elles opèrent dans le monde. De leur côté, les gouvernements ont la responsabilité de s’assurer que les entreprises incluent ces responsabilités. Ils ont le devoir de protéger les enfants et leurs droits et donc devraient prévenir, surveiller, enquêter et punir les abus de droits des enfants par des entreprises ».