La pandémie a permis aux publicitaires du numérique de mettre la main sur les données personnelles de dizaines de millions d’enfants du monde entier, révèle un rapport rendu public mercredi 25 mai par Human Rights Watch (HRW), en collaboration avec EdTech Exposed, un consortium de treize médias, dont Mediapart, coordonnés par The Signal Network et ayant un accès anticipé aux documents.
Durant près de deux années, l’ONG a analysé 165 outils numériques de l’EdTech, terme désignant le secteur des technologies éducatives, officiellement recommandées par les gouvernements de quarante-neuf pays. Et ses conclusions sont désastreuses pour la protection de la vie privée des enfants : dépôt dans leurs appareils de cookies permettant d’espionner leurs activités en ligne, suivi de leur géolocalisation, attribution d’un identifiant publicitaire facilitant leur pistage… L’immense majorité des solutions numériques, qu’elles aient été développées directement par les États ou confiées à des entreprises privées, ont contribué à une surveillance publicitaire rendue obligatoire par le confinement et la fermeture des écoles.
« Sur les 164 produits de EdTech examinés, 146 (89 %) étaient impliqués dans des pratiques relatives aux données qui mettent en danger les droits des enfants, contribuant à les affaiblir ou violant activement ces droits, constate le rapport. Ces produits surveillaient les enfants, secrètement et sans le consentement de leurs parents, collectant des données sur qui ils sont, où ils sont, ce qu’ils font en classe, qui sont leur famille et leurs amis et quel type d’appareil leur famille pouvait se permettre de leur offrir. »
Le rapport issu de ce travail détaille, en 145 pages, l’ampleur de la collecte de données personnelles par les produits de l’EdTech ainsi que les différentes techniques employées.
Attribuer un « identifiant persistant »
L’un des premiers objectifs des entreprises du secteur des technologies publicitaires est de pouvoir identifier le plus précisément possible les internautes afin de pouvoir les suivre lors de leurs utilisations. « Pour savoir qui sont les gens sur Internet, explique le rapport, les sociétés de technologie publicitaire (AdTech) étiquettent chaque personne avec une suite de chiffres et de lettres qui agissent comme un numéro identifiant qui est persistant et unique : il renvoie à un seul enfant ou à ses appareils, et il ne change pas. »
Ainsi, « à chaque fois qu’un enfant se connecte à Internet et entre en contact avec une technologie de pistage, chaque information collectée sur cet enfant – où il vit, qui sont ses amis, quel type d’appareil sa famille peut se permettre de lui offrir – est reliée à l’identifiant associé à lui par une société de l’AdTech, aboutissant au fil du temps à un profil complet. Les données liées de cette manière n’ont pas besoin d’un vrai nom pour être capables de cibler un vrai enfant ou une personne », souligne le rapport.
Ces identifiants persistants peuvent avoir plusieurs buts. Mais certains sont exclusivement dédiés à la publicité. C’est le cas de l’Android Advertising ID (AAID), qui était présent dans 41 des 73 applications étudiées par HRW, soit 56 %. Durant la pandémie, elles ont été officiellement recommandées par 29 gouvernements.
Certaines d’entre elles ne sont pas spécifiquement destinées aux enfants, comme le service de transfert de fichiers Dropbox ou l’outil de travail collaboratif Padlet. Mais trente-trois applications étaient spécifiquement dédiées aux élèves et ont collecté les AAID d’environ 86,9 millions d’enfants. Parmi celles-ci, on retrouve le jeu éducatif de Microsoft Minecraft : Education Edition, officiellement recommandé par l’État de Victoria en Australie mais extrêmement populaire dans des salles de classe du monde entier.
Dans neuf cas (le Ghana, l’Inde, l’Indonésie, l’Iran, l’Irak, la Russie, l’Arabie saoudite, le Sri Lanka et la Turquie), les applications collectant les AAID avaient été développées par les gouvernements eux-mêmes. « Ce faisant, accuse le rapport, ces gouvernements se sont accordé la capacité de pister environ 41,1 millions d’étudiants et d’enseignants uniquement pour de la publicité et de la monétisation ».
En outre, HRW a repéré dix-sept applications récupérant des identifiants encore plus intrusifs car quasiment impossibles à modifier. Huit récupéraient en effet l’adresse MAC Wifi, un identifiant physique attribué à chaque carte wifi des appareils. Ces applications ont été recommandées par treize gouvernements et, parmi elles, figurent certaines des plus populaires : YouTube (recommandé par l’État d’Uttar Pradesh en Inde, la Malaisie, le Nigeria et l’Angleterre), Facebook (recommandé par Taïwan) ou encore Minecraft : Education Edition.
Neuf autres applications collectaient le numéro IMEI (pour International Mobile Equipment Identity) attribué à tout appareil mobile. On retrouve, encore une fois, dans ces outils recommandés par douze gouvernements, des produits particulièrement populaires, comme le système de visioconférence Cisco Webex (recommandé par l’État de Victoria en Australie, le Japon, la Pologne, l’Espagne, la République de Corée, Taïwan et l’État de Californie), la messagerie Telegram (recommandée par la Russie) ou encore Facebook.
Le rapport explique que seules des applications sous Android ont été analysées en raison de la position dominante du système d’exploitation de Google sur le marché et de son architecture plus facile à expertiser que son principal concurrent, l’iOS d’Apple. Mais il précise que « les applications construites pour l’iOS d’Apple peuvent également employer des technologies de pistage de données et cibler ses utilisateurs avec de la publicité comportementale ».
Concernant les sites internet, HRW a découvert que huit avaient recours à une autre technologie d’identification particulièrement efficace : le « canvas fingerprinting ». Celle-ci consiste à dissimuler, dans une page internet, une forme ou un bout de texte que le navigateur lit sans que l’utilisateur s’en rende compte.
Or, chaque ordinateur affichera ces empreintes avec de très légères différences liées à ses composants. De ce fait, « ces images peuvent être utilisées par les annonceurs et d’autres pour assigner un numéro unique à l’appareil de l’utilisateur, qui peut alors être utilisé comme un identifiant singulier pour pister les activités de l’utilisateur sur Internet », explique le rapport. HRW a repéré huit sites internet utilisant le « canvas fingerprinting », dont trois mis en place par des gouvernements – un au Canada et deux en Russie.
Géolocaliser les élèves
L’une des données les plus précieuses pour les entreprises de l’AdTech est la géolocalisation des internautes. Elle peut « révéler des informations sensibles telles que où l’enfant vit et où il va à l’école, les voyages entre les domiciles de ses parents divorcés et les visites au cabinet d’un docteur spécialisé dans le cancer pédiatrique », détaille le rapport. Durant la pandémie, alors que « beaucoup d’enfants apprenaient à distance durant les confinements du Covid-19, la surveillance de leur présence physique par les données de localisation a probablement révélé leurs adresses et les endroits les plus significatifs pour eux », souligne encore HRW.
Or, sur les 73 applications analysées, 22, soit 30 %, « s’accordaient la capacité de collecter des données de localisation précises, ou des coordonnées GPS qui peuvent déterminer à la localisation exacte d’un enfant à 4,9 mètres près ». De plus, ces 22 applications collectaient également « l’horaire de la localisation actuelle de l’appareil, ainsi que la dernière localisation connue de l’appareil – révélant exactement où un enfant est, où il était avant ça, et combien de temps il est resté à chaque endroit ».
Dix de ces applications étaient directement destinées aux enfants, comme Minecraft : Education Edition, et ont collecté les données de localisation d’environ 52,1 millions d’enfants. Quatre applications directement développées par les gouvernements indien, indonésien, iranien et turc ont à elles seules récupéré celles de 29,5 millions d’élèves.
On retrouve également, encore une fois, des applications non prévues pour les enfants mais tout de même recommandées par des gouvernements comme celle de visioconférence Microsoft Teams (recommandée dans l’État du New South Wales en Australie, dans l’État de Bavière en Allemagne, en République de Corée, en Espagne, à Taïwan, en Angleterre et au Texas).
Certaines applications, 18 sur les 73, collectaient également le Wifi SSID, qui correspond au nom du réseau auquel se connecte un téléphone mobile. Avec cette donnée, les entreprises peuvent retrouver la localisation exacte du réseau en question. Parmi les applications utilisant cette technique, on retrouve des géants du numérique comme Microsoft Teams, Cisco Webex, Zoom (recommandé dans l’État du New South Wales en Australie, au Cameroun, au Kazakhstan, en République de Corée, en Roumanie, en Californie, au Texas et en Angleterre), YouTube (recommandé dans l’État d’Uttar Pradesh en Inde, en Malaisie, au Nigeria et en Angleterre), WhatsApp (recommandé dans l’État d’Uttar Pradesh et au Cameroun), Telegram (recommandé au Nigeria) ou encore Facebook (recommandé à Taïwan).
Concernant les sites internet, la question de la localisation est plus délicate. Ceux-ci disposent en effet quasi automatiquement de l’adresse IP de chaque visiteur ou visiteuse, qui permet d’avoir une indication approximative du lieu d’où celui-ci ou celle-ci se connecte. Lorsque ces données sont transmises à des entreprises d’AdTech, il est délicat de savoir si ces dernières en usent afin de localiser les utilisateurs et utilisatrices.
Cependant, pointe le rapport, « la plupart de sociétés d’AdTech que Human Rights Watch a observées recevant les adresses IP d’enfants, depuis des produits EdTech recommandés par le gouvernement, offraient des services de ciblage géolocalisé basé sur les adresses IP ».
L’ONG pointe comme exemple le cas de la société française Criteo, l’un des leaders du secteur. Celle-ci revendique la détention des données sur « 2,5 milliards d’utilisateurs uniques, dont 98 % ont des identifiants persistants ». Elle revendique l’utilisation de la géolocalisation pour « afficher des publicités pour des produits disponibles dans votre zone géographique ». Or HRW a identifié sept sites internet éducatifs transmettant les adresses IP des enfants – deux au Brésil, deux au Japon, un au Kazakhstan, un au Pakistan et un en République de Corée.
Interrogé par les chercheurs de l’ONG, Criteo a confirmé utiliser une version tronquée des adresses IP pour personnaliser ses publicités. La société a également reconnu avoir trois des sites internet cités parmi ses clients mais a affirmé ne pas travailler avec les quatre autres. Le rapport précise qu’elle n’a pas indiqué si, oui ou non, elle avait bien reçu des données collectées sur des enfants.
Contacté par Mediapart, Criteo a dans un premier temps transmis un communiqué (lire l’intégralité dans la page Annexes), dans lequel elle assurait avoir « pleinement collaboré avec HRW sur ce rapport en répondant à toutes leurs questions ». Concernant la protection des enfants, elle affirmait imposer « un haut niveau d’exigence à ses partenaires, en leur demandant contractuellement de se conformer aux Lignes directrices pour les publicités Criteo et aux Lignes directrices pour les partenaires fournisseurs, ainsi qu’aux différentes réglementations applicables à la protection des données personnelles, et notamment au RGPD [Règlement général sur la protection des données – ndlr] ».
Relancé sur la question de la destruction d’éventuelles données collectées sur des enfants, sur les mesures à mettre en place, Criteo a complété sa réponse après avoir reçu une copie du rapport de HRW. « Nous sommes en train de l’évaluer avec toutes les parties concernées, indique la société. Nous continuons à enquêter car nous prenons ces questions très au sérieux et nous prendrons rapidement des mesures pour retirer tout partenaire ou annonceur de notre réseau s’il viole les directives que nous avons précédemment communiquées. »
Surveiller les salles de classe virtuelles
La surveillance des enfants durant la pandémie s’est parfois étendue jusqu’à l’intérieur des salles de classe virtuelles. HRW a en effet également recensé les différents pisteurs publicitaires qui permettent de suivre l’activité du visiteur et de la visiteuse d’un site. « En scrutant toutes les actions et le comportement d’une personne, les trackeurs publicitaires présument ses préférences pour la cibler avec des publicités spécifiques, et alors mesurer à quel point la publicité a réussi à capturer l’attention de la personne et à l’inciter à cliquer sur elle », explique le rapport.
« Human Rights Watch a découvert que les sites web éducatifs des enfants installaient autant de trackeurs publicitaires que le font les sites web les plus populaires visant les adultes, poursuit-il. Sur un total de 125 sites web EdTech, 113 sites web (90 %) plaçaient de pisteurs publicitaires tiers sur les appareils et les navigateurs utilisés par les enfants. […] Dit autrement, les enfants ont juste autant de chances d’être surveillés dans leurs salles de classe virtuelles que des adultes faisant des courses dans les plus grands magasins virtuels, si ce n’est plus. »
Parmi les cas les plus symptomatiques, HRW cite l’exemple du site de l’Education Boadcasting System (EBS) coréen, imposé par le gouvernement durant le confinement et qui comportait 24 pisteurs publicitaires, envoyant des données à 15 sociétés de l’AdTech.
Pister les enfants sur Internet
Enfin, les élèves ont également pu être pistés en dehors de leurs salles de classe virtuelles, lors de leurs autres activités sur Internet, via les fameux « cookies », des petits fichiers installés dans le navigateur d’un·e internaute pour l’identifier. « Si tous les cookies ne sont pas des pisteurs, précise le rapport, les cookies tiers sont généralement utilisés par des sociétés publicitaires ou de pistage pour regarder ce que font les gens en ligne, en déduire leurs caractéristiques et intérêts, et fournir des publicités customisées qui ensuite les suivent sur Internet. »
HRW s’est rendu compte « que les sites web éducatifs des enfants inséraient autant de cookies tiers sur les appareils personnels que les sites les plus populaires destinés aux adultes. Sur un total de 125 sites web EdTech, Human Rights Watch a détecté 67 sites EdTech ayant un total de 472 cookies tiers embarqués. »
L’ONG s’inquiète des conséquences sur les enfants de ce ciblage publicitaire comportemental. « L’usage des informations personnelles des enfants pour délivrer des contenus et des publicités qui les suivent à travers Internet joue un rôle énorme dans le modelage des expériences des enfants et de qu’ils voient en ligne, écrit-elle. Cela peut influencer, modifier et manipuler leurs pensées et croyances, en les poussant vers des conclusions spécifiques et potentiellement en affectant leur capacité à faire des choix autonomes. »
Face à ces dangers, « les gouvernements ont échoué à protéger le droit des enfants à l’éducation, accuse le rapport. À l’exception d’un seul gouvernement – le Maroc –, tous les gouvernements examinés dans ce rapport ont adopté au moins un produit de EdTech qui mettait en danger ou affaiblissait les droits des enfants. »
Certains gouvernements ont même directement mis en danger la vie privée de leurs enfants via des applications développées par les autorités et transmettant des données à des sociétés AdTech. Une liste de 55 produits est ainsi épinglée dans le rapport, dont deux développés par le gouvernement français. Proposés par le ministère de l’éducation nationale, les sites internet English for Schools et Deutsch für Schulen intègrent en effet deux cookies tiers, un de Google Analytics, un outil de mesure d’audience, et un de doubleclick.net, une régie publicitaire appartenant au géant américain.
En dehors de ces deux sites, la France est par ailleurs relativement épargnée par le rapport de HRW, notamment en raison d’une législation plus protectrice que dans certains autres États. Cet apparent bon résultat est cependant à relativiser. Pour son enquête, l’ONG a en effet choisi de présenter les résultats en fonction des outils officiellement recommandés par les gouvernements. Or, beaucoup d’applications par ailleurs mises en cause dans le rapport ont été largement utilisées par les enseignants français, hors de toute consigne officielle. Ce fut le cas par exemple des outils de visioconférence tels que Zoom, de WhatsApp ou encore de Minecraft : Education Edition (lire ici notre article consacré à ce sujet).
Faire respecter la législation et responsabiliser les entreprises
« Les entreprises ont la responsabilité de respecter les droits des enfants, peu importe d’où elles opèrent dans le monde, et à travers ces opérations », affirme en conclusion HRW. De leur côté, les gouvernements ont la responsabilité de « s’assurer que les entreprises incluent ces responsabilités. Ils ont le devoir de protéger les enfants et leurs droits et donc devraient prévenir, surveiller, enquêter et punir les abus de droits des enfants par des entreprises ».
Afin d’y parvenir, le rapport formule une série de propositions. Il demande aux gouvernements de « mener des audits des données privées des EdTech adoptées pour les apprentissages des enfants durant la pandémie, retirer celles qui échouent à ces audits, et immédiatement notifier et guider les écoles affectées, les enseignants, les parents et les enfants afin d’empêcher la poursuite de la collecte et du détournement des données des enfants ».
HRW appelle également les États à adopter « des lois spécifiques aux enfants de protection des données » et à s’assurer de leur respect. L’ONG fait aussi appel aux entreprises en leur demandant d’arrêter de collecter les données d’enfants et de mettre en place un système de « tag », d’étiquette, permettant de les repérer plus facilement afin de les écarter de tout traitement publicitaire.
Pour arriver à ces conclusions, Hye Jung Han, chercheuse et chargée de plaidoyer auprès HRW travaillant sur les droits de l’enfant et l’impact du numérique à HRW, a analysé les codes sources de l’ensemble des sites et applications afin d’y repérer les outils de pistage, ainsi que les données éventuellement transmises durant l’utilisation.
Elle a eu recours à l’expertise de deux autres spécialistes. Les applications pour appareils mobiles ont été analysées par la chercheuse française Esther Onfroy, cofondatrice de l’entreprise de cybersécurité Defensive Lab Agency et créatrice d’Exodus Privacy et de Pithus, deux outils d’analyse des applications Android. Les sites internet, eux, ont été analysés par Surya Mattu, ingénieur et journaliste au sein de l’association The Markup, qui vise à promouvoir le datajournalisme, et créateur de Blacklight, un outil permettant de repérer les pisteurs sur un site.
