Pendant que TikTok conclut un deal pour ne pas être banni aux États-Unis, Facebook, de son côté, se bat pour assurer son fonctionnement normal en Europe. Fin août, l’équivalent de la CNIL en Irlande a suggéré au groupe de suspendre les transferts de données d’utilisateurs de l’UE vers les États-Unis. Facebook conteste cette décision préliminaire auprès de la Haute Cour irlandaise et a pu obtenir un gel de celle-ci.
Aujourd’hui, nous apprenons que le numéro un des réseaux sociaux menacerait même de fermer ses apps dans l’Union Européenne. Comme le rapporte Reuters, le média irlandais Sunday Business Post aurait accédé à des documents qui n’ont pas été rendus publics, dans lesquels une responsable de Facebook explique qu’il n’est pas possible de respecter les exigences de la CNIL irlandaise.
« Il n’est pas très clair comment, dans ces circonstances, (Facebook) peut continuer à fournir les services Facebook et Instagram dans l’Union Européenne », expliquerait Yvonne Cunnane, responsable de la protection des données et de la vie privée chez Facebook, dans une déclaration envoyée à la Haute Cour irlandaise. Normalement, la Haute Cour irlandaise devrait se prononcer au mois de novembre.
Il y a quelques jours, Facebook s’était déjà exprimé au sujet de cette affaire, publiquement. « Un manque de transferts de données internationaux sûrs, sécurisés et légaux aurait des conséquences néfastes pour l’économie européenne », avait expliqué l’entreprise dans un communiqué relayé par la presse. « Nous exhortons les régulateurs à adopter une approche pragmatique et proportionnée jusqu’à ce qu’une solution durable à long terme puisse être trouvée. »
Une conséquence directe de l’invalidation du Privacy Shield
Cette affaire qui menace les activités de Facebook en Europe est une conséquence directe de l’invalidation du Privacy Shield. Il s’agit d’un texte qui régissait les transferts de données de l’Union Européenne vers les États-Unis. Au mois de juillet, ce texte a été invalidé par la Cour de Justice de l’Union Européenne qui estime que les lois américaines ne permettent pas d’avoir un niveau de protection des données équivalent à celui de l’UE, en particulier au RGPD ou règlement général sur la protection des données personnelles.
En juillet, nous expliquions déjà que cette invalidation va mettre dans l’incertitude de nombreuses entreprises dont les activités dépendent des transferts de données entre l’UE et les USA. Mais pour l’avocat autrichien Maximillian Schrems, qui a porté plainte pour obtenir cette invalidation, c’est aux États-Unis de changer leurs lois. « Il est clair que les États-Unis vont devoir changer sérieusement leurs lois sur la surveillance, si les entreprises américaines veulent continuer à jouer un rôle sur le marché européen », avait-il expliqué.
De son côté, Facebook évoque l’impact économique que cette situation (l’invalidation du Privacy Shield et l’action de la CNIL irlandaise) pourrait avoir sur de nombreuses entreprises (mais pas seulement Facebook), alors que celles-ci essaient de rebondir durant la pandémie.
Dans un billet de blog publié ce mois de septembre, Nick Clegg, Vice-président des affaires mondiales et des communications, écrit : « L’impact serait ressenti par les entreprises, grandes et petites, dans de multiples secteurs. Dans le pire des cas, cela pourrait signifier qu’une petite start-up technologique en Allemagne ne pourrait plus utiliser un fournisseur de cloud basé aux États-Unis. Une société espagnole de développement de produits ne pourrait plus être en mesure d’exécuter une opération sur plusieurs fuseaux horaires. Un détaillant français peut constater qu’il ne peut plus maintenir un centre d’appels au Maroc. »
Pendant des décennies, l'UE a codifié les protections des données personnelles et s'est battue contre ce qu'elle considérait comme une exploitation commerciale des informations privées, positionnant ainsi ses réglementations en modèle par rapport aux politiques de protection de la vie privée des États-Unis. La donne pourrait changer avec la nouvelle stratégie européenne de gouvernance des données issue de la Commission de l’UE. Au travers de cette dernière, l’Europe se positionne en acteur pour faciliter l’utilisation et la monétisation des données personnelles de ses citoyens.
Dévoilée en février 2020, la stratégie décrit les mesures et les investissements qui seront déployés au cours des cinq prochaines années. De façon spécifique, il s’agit de créer un marché paneuropéen des données à caractère personnel qui repose sur un espace sécurisé de confiance pour le partage des données ou Data Trust. De façon ramassée, il s’agit d’ un pool paneuropéen d'informations personnelles et non personnelles qui devrait devenir un guichet unique pour les entreprises et les gouvernements cherchant à accéder aux informations des citoyens. Le projet mobilise un budget de 7 millions d’euros et devrait être finalisé d’ici 2022.
Les entreprises technologiques mondiales ne seront pas autorisées à stocker ou à déplacer les données des Européens. Elles seront plutôt contraintes d'y accéder par l'intermédiaire de cet espace sécurisé de confiance pour le partage des données. Le projet prévoit que les citoyens percevront des dividendes numériques. Pas de définition claire de cette notion pour le moment, mais il est possible d'anticiper sur ceci qu'il s'agit (entre autres) de paiements en monnaie fiduciaire ou non de la part des entreprises qui utiliseront les données personnelles des citoyens de l'UE.
Pour les citoyens, cela signifie que leurs données seront conservées dans des serveurs publics et gérées par ce qui se veut être des tiers de confiance. La Commission européenne voit en ces derniers un moyen d'aider les entreprises et les gouvernements européens à réutiliser et à valoriser les énormes quantités de données produites dans toute la région et d'aider les citoyens européens à tirer profit de leurs informations. Toutefois, la documentation relative au projet ne précise pas comment les personnes seront indemnisées.
Le nouveau projet de l'UE s'inspire du système numérique autrichien qui garde la trace des informations produites par et sur ses citoyens en leur attribuant des identifiants uniques et en stockant les données dans des dépôts publics. IBM et Mastercard s’appuient sur une approche similaire pour gérer les informations financières de leurs clients européens en Irlande. Les autorités du Royaume-Uni et celles du Canada y ont eu recours pour stimuler la croissance de l’intelligence artificielle dans leurs pays respectifs.
L’usage d’ espaces sécurisés de confiance pour le partage des données soulève néanmoins des interrogations et même des craintes. En effet, le risque que des tiers exercent une mainmise sur les données des citoyens de l’UE existe. À titre d’illustration, le gouvernement du Canada a, en octobre 2019, rejeté une proposition d'Alphabet/Sidewalk Labs visant à créer un système dans le genre pour le projet de ville intelligente de Toronto. Motif :Sidewalk Labs l’avait conçu de manière à garantir le contrôle de l'entreprise sur les données des citoyens.
En fait, l’un des griefs les plus importants qu’on puisse porter à l’endroit de tels projets est celui de la centralisation importante des données entre les mains d’une entité. Sur ce seul axe, le tableau ne serait pas différent de l’actuel sur lequel on voit les grandes enseignes US (Google, Amazon, Facebook, Apple…) mobiliser une part importante des informations d’utilisateurs du monde entier. En droite ligne avec ce dernier, un détail supplémentaire en lien avec ces développements attire l’attention : l’inscription à un service offert par un des GAFA n’est pas obligatoire ; à contrario, la participation au marché de données à caractère personnel pourrait bien être obligatoire pour les citoyens de l’Union européenne.
Grosso modo, l’initiative s’inscrit dans les préparatifs de l’UE à imprimer sa marque dans une société data-agile où les applications de l’intelligence artificielle ne cessent de voir le jour. Le projet est vu comme un moyen d’attirer les grandes multinationales qui s’appuient sur les données pour les besoins de montage de leurs services à s’encrer sur l’Europe et non plus sur les USA.
Créé en 1996 par les Mormons, le site Ancestry était depuis quelques années la propriété du fond souverain de Singapour (GIC) et de Silver Lake Management une firme d'investissement new-yoirkaise. Ce site, vient d'être revendu 4.7 Milliards de dollars au fond d'investissement Blackstone à ne pas confondre avec l'autre fond d'investissement au nom similaire Blackrock
Ancestry autoproclame à la fois leader des tests ADN et plus grand site de généalogie du monde. Blackstone est le plus grand propriétaire de biens immobiliers du monde et a acheté 75% des actions Ancestry. D'après le communiqué de presse, Ancestry a 3 millions d'abonnés (à 50 $/an) à ses activités généalogiques et dégage plus d'1 milliard de revenus par an. En lisant entre les lignes, cela veut donc dire que plus de 850 millions proviennent du commerce de l'ADN. Blackstone a aussitôt été interrogé par Vice sur les aspects de vie privée et a assuré ne pas avoir accès aux données ADN des personnes ayant confié leur ADN à Ancestry et ne pas partager les données ADN et les arbres généalogiques hébergés par Ancestry avec les autres sociétés que possède le fond d'investissement (vous remarquerez que ça n'interdit nullement de le monétiser ailleurs....). L'article de Vice conclut en disant "quand on livre son ADN a une entreprise, du fait des rachats de société, on ne sait jamais qui en sera propriétaire"
Plusieurs généalogistes américains se sont émus de ce rachat car la société Blackstone a plusieurs fois été accusée de se comporter de manière amorale. En particulier elle a donné à l'émigration US les listes d'hôtes hispaniques qui étaient dans sa chaine d'hôtel Motel6, elle est le principal soutien de la déforestation de l'Amazonie. Enfin les rapporteurs de l'ONU Leilani Farha et Surya Deva ont accusé Blackstone d'avoir une politique d'expulsion des locataires agressive afin d'assoir ses profits.
Des sites comme Komando recommandent aux utilisateurs de retirer leurs données. Mais comme le commente Dick Eastman sur son blog il serait illusoire de penser qu'Ancestry ne possède pas de sauvegarde de ses données : "essayer de retirer ses données c'est comme refermer la porte de l'écurie alors que les chevaux sont sortis".
En juin 2019, le gouvernement américain faisait savoir qu’il souhaitait désormais obtenir les comptes des réseaux sociaux des personnes souhaitant voyager aux États-Unis. Depuis, ces dernières doivent partager leurs médias sociaux (Facebook, Twitter…) avec les autorités du pays pendant cinq ans —en plus de l’adresse email, du numéro de téléphone et des autres informations de base. Dans le cas de la France, la mesure est encore optionnelle pour le moment.
Une quantité de données (très) personnelles
À l’époque, les USA avaient fait savoir que le but de cette nouvelle directive était de renforcer la sécurité du pays, un objectif toujours d’actualité. En effet, le département de la Sécurité intérieure a fait savoir qu’il disposait de nouveaux outils visant à extraire les données des appareils des voyageurs souhaitant entrer dans le pays. Il est possible d’en apprendre un peu plus grâce à un rapport publié jeudi dernier par le ministère américain.
Selon les documents, le département de la Sécurité intérieure peut extraire un très grand nombre de données des appareils des voyageurs, dont les contacts, le journal d’appel, les adresses IP, les positions et historiques GPS, le calendrier ou encore les notes. Mais ce n’est pas tout, car cela concerne également les informations sur les réseaux sociaux, les vidéos et photos, les messages texte, les emails et les comptes bancaires ainsi que les opérations financières. Des informations ultra privées, donc.
Selon le département de la Sécurité intérieure, le but de cette mesure est de « développer des pistes, identifier les tendances associées aux activités illicites et prendre d’autres mesures répressives liées au terrorisme, au trafic d’êtres humains et de stupéfiants, et à d’autres activités représentant une menace pour la sécurité des frontières ou la sécurité nationale ou indiquant une activité criminelle ».
Le rapport affirme que les agents travaillant aux frontières peuvent créer une copie exacte de toutes ces informations contenues dans les appareils des voyageurs. De plus, il semblerait que la politique de conservation de ces données soit de 75 ans.
Les autorités américaines affirment que les risques de violation de la vie privée sont faibles, car seuls les techniciens médico-légaux formés auront accès à ces outils et ils n’extrairont que les données pertinentes.
Un argument qui semble peu convaincant pour les avocats de l’Union américaine des libertés civiles et de l’Electronic Frontier Foundation, sachant que ceux-ci avaient découvert que des agents avaient fouillé les appareils de certains voyageurs sans raison légitime.
La Cour de justice de l'Union européenne invalide un accord de 2016 pris entre Bruxelles et Washington sur le transfert des données personnelles entre les deux rives de l'Atlantique. En cause, le manque d'encadrement des programmes de surveillance américains.
C’est un coup de tonnerre juridique dans le ciel transatlantique. Jeudi 16 juillet, la Cour de justice de l’Union européenne (CJUE) a annoncé avoir invalidé la décision 2016/1250 relative à l’adéquation de la protection assurée par le bouclier de protection des données UE-États-Unis. C’est une décision cruciale, car elle concerne le transfert de données personnelles des Européens, donc les vôtres, vers les États-Unis.
Mais de quoi parle-t-on ?
Rappel des faits.
Jusqu’en 2015, l’envoi de données personnelles de l’Europe vers les USA était encadré par un dispositif baptisé « Safe Harbor ». Mais par l’action en justice d’un Autrichien, ce mécanisme a été annulé en octobre de cette année-là, déjà par la CJUE. Les révélations d’Edward Snowden en 2013 sur la surveillance de masse mise en place les services de renseignement américains avaient à l’époque joué un rôle important, car elles montraient un niveau de protection insuffisant pour les Européens.
cjue cour justice
Cour de justice de l’Union européenne. // Source : Transparency International EU Office
Pour éviter de laisser un vide entre les deux rives de l’Atlantique, un nouveau cadre a été mis sur pied dès l’année suivante, en 2016 : le bouclier de protection des données UE-États-Unis, ou « Privacy Shield ». Celui-ci est décrit comme plus protecteur que le « Safe Harbor ». C’est la position de Bruxelles, qui l’a validé à chaque réexamen annuel. Mais ni les CNIL du Vieux Continent, ni le Parlement européen, ni le Conseil national du numérique, ni les associations de la société civile ne partageaient ce point de vue.
À cette liste, on peut donc ajouter maintenant la Cour de justice de l’Union européenne, qui va obliger Bruxelles et Washington à renégocier un accord. Et comme le fait remarquer le professeur de droit Théodore Christakis, spécialiste de droit international public, c’est une fois encore les programmes de surveillance américains qui posent problème, car ils « ne sont pas limités à ce qui est strictement nécessaire et ne sont donc pas conformes aux standards européens ».
Dans son communiqué, la Cour fait observer qu’il n’y avait aucune garantie juridique pour des personnes non américaines potentiellement visées par ces programmes. Ainsi, il est relevé que la réglementation américaine « ne confère pas aux personnes concernées des droits opposables aux autorités américaines devant les tribunaux », tandis que « l’accès et l’utilisation, par les autorités publiques américaines » des données à caractère personnel ne sont pas assez encadrés.
Pour la justice européenne, les programmes de surveillance américains ne sont pas assez bien encadrés
Pour l’Autrichien à l’origine des invalidations du « Safe Harbor » et du « Privacy Shield », cet arrêt est une bonne nouvelle.
« Je suis très heureux de ce jugement. Il semble que la Cour nous ait suivis dans tous les aspects. […] Il est clair que les États-Unis devront modifier sérieusement leurs lois de surveillance, si les entreprises américaines veulent continuer à jouer un rôle majeur sur le marché européen », écrit-il. « La Cour a clarifié pour la deuxième fois maintenant qu’il y a un conflit entre la législation européenne sur la vie privée et la législation américaine sur la surveillance. »
En somme, c’est le droit américain qui pose problème : si celui-ci n’est pas modifié de façon substantielle, il est à prévoit d’autres annulations du même ordre devant les tribunaux si Washington ne s’attaque pas à une réforme plus ambitieuse. « Comme l’UE ne modifiera pas ses droits fondamentaux pour satisfaire la NSA, la seule façon de surmonter ce conflit est que les États-Unis introduisent des droits solides en matière de protection de la vie privée pour tous, y compris les étrangers ».
Et maintenant ?
Reste une question : l’invalidation prononcée ce jour signifie-t-elle qu’il n’y a plus du tout de transfert entre les deux rives de l’Atlantique ? C’est aller un peu vite en besogne.
Si la Cour a bien annulé le « Privacy Shield », elle a par contre validé les clauses contractuelles types de la Commission européenne. Il s’agit d’un autre dispositif qui sert lui aussi à encadrer l’envoi des données personnelles aux USA. Elles servent lorsque des transferts se font en dehors de l’Union, en vue de « faciliter la tâche » des entreprises et des sous-traitants des autres pays. Autrement dit, si l’accord général n’est pas bon, des accords individuels peuvent l’être.
Deux subtilités sont toutefois à relever. Si le principe des clauses contractuelles types est approuvé, c’est à la condition que les entreprises et les sous-traitants qui y font appel se montrent en phase avec la législation européenne. C’est ce que relève l’avocat Étienne Wery sur son site : l’exportation de données n’est possible que si le niveau de protection est suffisant et respecté. Dans le cas contraire, ce transfert doit être suspendu ou interdit. Reste à pouvoir s’en assurer.
Ensuite, les clauses contractuelles types ne peuvent pas être utilisées par des entreprises qui, justement, sont sous surveillance américaine. C’est ce qu’analyse l’association Noyb, fondée par Maximilian Schrems, l’Autrichien à l’origine de toute cette affaire. « L’arrêt indique clairement que les entreprises ne peuvent pas se contenter de signer les clauses , mais qu’elles doivent également vérifier si elles peuvent les respecter dans la pratique », commence-t-il.
Un vrai casse-tête pour les géants du net.
Sans aucun consentement de la part des patients, Google a récupéré en toute discrétion des millions de données médicales aux USA.
C'est un nouveau scandale qui s'annonce : le Wall Street Journal et Forbes évoquent dans leurs colonnes que Google aurait mis la main sur "des données médicales de millions d'Américains à travers 21 États" sans avoir obtenu le consentement des patients.
Car il ne s'agit pas là de données récoltées par l'application Google Fit de la marque, mais de données véritablement sensibles récupérées à travers un partenariat noué avec un assureur privé. Les données sont issues du projet Nightingale et proviennent de laboratoires, de médecins ou d'hôpitaux. Pour certains patients, les données correspondraient à l'historique complet de santé intégrant leur nom, date de naissance...
C'est Ascension, un assureur privé aux États-Unis qui a partagé ces informations avec Google. Le partenariat permet à Google d'accéder aux données des assurés pour développer et proposer un outil permettant à ces derniers de mieux retrouver les données des patients à l'aide d'un moteur de recherche doté d'intelligence artificielle.
Malgré tout, la situation pose un sérieux problème sur la capacité de Google à gérer ces données sensibles et à y avoir accès notamment parce que les médecins et patients n'ont jamais donné leur accord. Par ailleurs, 150 salariés de Google auraient eu accès à ces données pour un traitement manuel.
Pointé du doigt, Google tente de désamorcer la situation en expliquant sur son blog avoir obtenu les autorisations nécessaires et précise que les données en questions sont par ailleurs déjà partagées par l'assureur pour d'autres objectifs. Google assure ne pas stocker les données de son côté... Reste à savoir si l'explication sera suffisante pour les concernés.
Si le RGPD est entré en application récemment, en plaçant l’Europe à l’avant-garde de la protection des données à caractère personnel, il ne doit pas nous dissuader de nous interroger en profondeur sur la question des identités, dont les contours se sont redéfinis à l’ère numérique. Il s’agit bel et bien de porter une réflexion critique sur des enjeux éthiques et philosophiques majeurs, au-delà de la seule question de la protection des informations personnelles et de la privacy.
Les politiques actuelles sur la protection des données mettent l’accent sur les droits de la personne. Mais elles ne prennent pas la mesure de la manière dont l’exercice de notre libre arbitre se voit de plus en plus empêché au sein d’environnements technologiques complexes, et encore moins des effets de la métamorphose numérique sur les processus de subjectivation, le devenir-soi de l’individu. On considère le plus souvent, dans ces textes, un sujet déjà constitué, capable d’exercer ses droits, sa propre volonté et ses principes. Or, le propre des technologies numériques – telle est la thèse ici défendue – est de participer à la formation des subjectivités selon un mode nouveau : en redistribuant sans cesse le jeu des contraintes et des incitations, elles créent les conditions d’une plus grande malléabilité des individus. Nous détaillons ces processus dans notre ouvrage Les identités numériques en tension.
Si les moyens mis en place par le RGPD sont clairement nécessaires pour soutenir l’initiative et l’autonomie de l’individu dans la gestion de sa vie numérique, il faut cependant souligner que les notions mêmes de consentement et de contrôle par l’utilisateur vis-à-vis de ses données, et sur lesquels le mouvement actuel repose, restent problématiques. Et cela parce que deux logiques, distinctes mais concordantes, sont aujourd’hui à l’œuvre.
Si une certaine sensibilité des utilisateurs aux traces laissées volontairement ou involontairement au cours de leurs activités en ligne, et dont il peut avoir connaissance (comme, par exemple, des métadonnées de connexion), semble s’accroître, et peut servir de support à l’approche basée sur le consentement, cette dynamique rencontre assez vite ses limites.
Tout d’abord, la multiplication des informations récoltées rend irréaliste l’exercice systématique du consentement et le contrôle par l’utilisateur, ne serait-ce qu’en raison de la surcharge cognitive que cet exercice effectif exigerait de sa part. Ensuite, le changement de nature des moyens techniques de collecte, exemplifiée par l’avènement des objets connectés, conduit à la démultiplication des capteurs qui collectent les données sans même que l’utilisateur puisse s’en rendre compte, comme le montre l’exemple, de moins en moins hypothétique, de la vidéo-surveillance couplée à la reconnaissance faciale et, plus amplement, le cas de toutes les connaissances que les opérateurs acquièrent sur la base de ces données. Il s’agit ici d’une couche de l’identité numérique dont le contenu et de nombreuses exploitations possibles sont absolument inconnus de la personne qui en est la source.
Qui plus est, une forte tendance des acteurs, étatiques et privés, consiste à vouloir décrire l’individu de manière exhaustive et totale, en créant le risque de le réduire à un ensemble de plus en plus complet d’attributs. Dans ce nouveau régime de pouvoir, le visible se réduit à ce qui peut être saisi en données, à ce qui relève de la mise à disposition immédiate des êtres, comme s’il s’agissait en fin de compte de simples objets.
La deuxième logique à l’œuvre dans nos sociétés hypermodernes touche à l’inscription de ce paradigme basé sur la protection et le consentement dans les mécanismes de la société néolibérale. La société contemporaine conjugue en effet deux aspects en matière de privacy : il s’agit de considérer l’individu comme étant visible de manière permanente, et comme étant responsable individuellement pour ce qui est vu de lui. Un tel ensemble de normes sociales se consolide à chaque fois que l’utilisateur exerce le consentement – ou l’opposition – à l’utilisation de ses données. En effet, à chaque itération, l’utilisateur renforce sa compréhension de soi-même comme l’auteur et le responsable de la circulation des données. Il endosse aussi l’injonction à la maîtrise des données alors même que cette dernière est le plus souvent illusoire. Surtout, il endosse l’injonction à calculer les bénéfices que le partage des informations peut lui apporter. En ce sens, l’application stricte et croissante du paradigme de consentement peut être considérée comme étant corrélative d’une conception de l’individu qui devient non seulement l’objet d’une visibilité quasi-totale, mais aussi – et surtout – un agent économique rationnel, à même d’analyser son agir en termes de coûts et de bénéfices.
Cette difficulté fondamentale fait que les enjeux futurs des identités numériques ne se réduisent pas à donner plus de contrôle explicite, ou plus de consentement éclairé. Il convient bel et bien de trouver d’autres voies complémentaires, qui se situent sans doute du côté des pratiques (et non simplement des « usages ») des utilisateurs, à condition que de telles pratiques mettent en place des stratégies de résistance pour contourner l’impératif de visibilité absolue et de définition de l’individu comme agent économique rationnel.
De telles pratiques digitales doivent en outre nous inciter à dépasser la compréhension de l’échange social – numérique ou non – sous le régime du calcul des bénéfices que l’on en retire ou des externalités. Ainsi, les enjeux soulevés par les identités numériques dépassent largement les enjeux de protection de l’individu ou les enjeux des « modèles d’affaires », et touchent à la manière même dont la société dans son ensemble conçoit la signification de l’échange social. Dans un tel horizon, il est primordial d’affronter les ambivalences et les jeux de tension qui sont intrinsèques aux technologies numériques, en examinant les nouveaux modes de subjectivation qui sont induits dans ces opérations. C’est à partir d’un tel exercice de discernement que pourra advenir un mode de gouvernance des données plus responsable.
La chaîne japonaise Shiru Café offre des boissons gratuites aux étudiants, qui en échange donnent des informations sur leur identité.
Pour avoir un verre au Shiru Café, pas besoin de monnaie. Vos noms, prénoms, date de naissance, adresse mail, numéro de téléphone, ou encore intérêt professionnel suffiront. Cette chaîne de cafés japonaise possède une vingtaine d'établissements au Japon et en Inde, et en a ouvert un cette année à Providence, aux États-Unis, au sein de l'université de Brown, rapporte la National Public Radio (NPR). Car ces cafés ont une autre particularité: ils ne sont ouverts qu'aux étudiants, et aux personnes travaillant au sein des facultés.
Avant de commander une boisson au Shiru, les clients remplissent un formulaire en ligne. Les données qu'ils y inscrivent sont transmises à des entreprises «sponsors», qui paient le café pour avoir accès à ces informations. «Grâce à cette boisson gratuite, nous essayons de donner aux étudiants des informations exclusives, que certaines compagnies souhaitent leur résever, de façon à diversifier les choix de leur future carrière», détaille le Shiru Café sur son site.
Les étudiants reçoivent par la suite des publicités ciblées sur leur téléphone, des sondages, ou des idées d'applications à installer. Dans le café, des écrans diffusent des messages émanant des entreprises partenaires du Shiru, et même les serveurs sont formés pour parler de celles-ci à leurs clients. Si l'établissement installé à l'université de Brown n'a pas encore de sponsor, car il s'est installé récemment, certains Shiru en Inde et au Japon travaillent avec des compagnies comme Microsoft, Nissan, ou Suzuki, précise NPR.
Selon la directrice adjointe du café de Providence, les étudiants ne rechignent pas spécialement à délivrer leurs informations personnelles. NPR a notamment rencontré une étudiante en environnement, qui ne perçoit pas de risque dans cette démarche, dans la mesure où ses données sont déjà «accessibles sur Linkedin, ou en un clic sur Google». «Si les données sont déjà collectées, pourquoi ne pas en profiter pour avoir un café gratuit», remarque le New York Mag.
D'autres étudiants se montrent plus sceptiques, note toutefois le magazine, et certains professeurs également. Nicholas Tella, directeur de la sécurité des informations au sein d'une université privée installée sur un campus de Providence, confie à NPR: «S'ils donnent quelque chose gratuitement, cela signifie que les données qui sont collectées, peu importe à qui elles sont destinées, ont plus de valeur que le produit offert.»
Jacob Furst, professeur d'informatique, remarque de son côté, dans le New York Mag, qu'en se connectant au wi-fi gratuit du café, les étudiants exposent un large panel de données. Et selon lui, même si Shiru garantit l'anonymat de celles-ci, il ne sera pas difficile pour les sponsors de faire coïncider certaines d'entre elles.
Plusieurs Shiru Cafés ouvriront bientôt à Yale, Princeton ou encore Harvard. De quoi donner, sans trop d'effort, de l'inspiration aux scénaristes de Black Mirror.