SociétéTechno

Pokémon Go bouffe vos données… personnelles

Pokémon Go marque une étape de plus vers la société de surveillance en rendant amusante… la perte de vie privée.

Un pokémon se tient sur un trottoir du centre-ville de Toronto, prêt à être capturé. (Photo: Cole Burston/La Presse Canadienne)
Un pokémon se tient sur un trottoir du centre-ville de Toronto, prêt à être capturé. (Photo: Cole Burston/La Presse Canadienne)

Jean-Philippe Décarie-Mathieu est cofondateur de Crypto.Québec, un regroupement qui sensibilise la population aux enjeux relatifs à la vie privée sur le Web et à la sécurité informatique. Écoutez leur émission en baladodiffusion, enregistrée chaque semaine dans les locaux de L’actualité.

 
L’été 2016 passera à l’histoire comme l’été Pokémon! Pas seulement parce que le premier jeu en réalité augmentée destiné aux cellulaires s’est retrouvé en tête des applications gratuites sur l’App Store dès sa sortie, appli que des millions de personnes ont téléchargée depuis. Plutôt parce que sous ses airs ludiques, Pokémon Go ajoute sa pierre à l’édifice de la société de surveillance. Position par GPS, accès à l’historique des endroits visités, à la fréquence et aux habitudes de jeu… Chaque fois qu’un joueur chasse les Pokémon, il alimente son empreinte numérique unique, mise à jour en temps réel et archivée pour une période indéterminée, pour le meilleur et pour le pire.

L’entreprise qui a développé l’application, Niantic, accumule des quantités incroyables d’informations personnelles sur les utilisateurs dès l’enregistrement. Les conditions d’utilisation qui s’affichent précisent que la société californienne collecte votre adresse Google ou Facebook (si vous les utilisez comme identifiants), et par ricochet l’ensemble de vos informations publiques. Elle note votre adresse IP (l’équivalent sur Internet de votre adresse de maison), votre positionnement géographique par satellite lors de l’enregistrement, le nom et la version de votre système d’exploitation. Elle recense la page Web que vous visitiez juste avant de vous inscrire à Pokémon Go, les mots clés que vous avez utilisés pour y arriver, ainsi que l’ensemble de vos journaux, qui contiennent les informations techniques générées dès qu’un utilisateur fait quoi que ce soit.


À lire aussi:

Pokémon Go n’est pas qu’un jeu


Votre compte, en soi, est lui aussi une mine d’informations: vos nom et date de naissance, le nom du pays dans lequel vous êtes… et l’ensemble des messages que vous envoyez à d’autres utilisateurs de Pokémon Go. Les témoins (cookies) et les pixels-espions (Web beacons, des images minuscules qui permettent de suivre vos comportements d’un site à l’autre) permettent eux aussi une collecte impressionnante: statistiques sur la consommation et le trafic Web, tendances d’utilisation à long terme, temps passé sur les différences sections de l’application et du site Web de Niantic.

Le positionnement géographique étant essentiel au bon fonctionnement de Pokémon Go, normal que Niantic utilise tous les outils à sa disposition, notamment la géolocalisation par satellite (le fameux GPS), pour déterminer très précisément le lieu qu’occupe le joueur tout au long du jeu. Rien n’indique que l’entreprise ait des intentions malveillantes. Les métadonnées qu’elle récolte sont probablement rendues anonymes, mais il n’en reste pas moins qu’il s’agit d’une entreprise privée, et donc qu’aucune surveillance externe n’est possible.

Dans ses conditions d’utilisation de Pokémon Go, Niantic se dégage de toute responsabilité en cas de partage des données, notamment avec son partenaire Pokémon Company. En cas de liquidation ou de rachat de Niantic, l’ensemble des données collectées (décrites comme des «actifs» dans la politique de vie privée) pourraient se retrouver dans les mains d’une entreprise qui aurait gros à gagner à acquérir un tel trésor numérique. Un utilisateur peut toujours demander un retrait de ses informations personnelles des serveurs, mais elles demeurent dans les copies de sauvegarde.

Au départ, l’application était encore plus gourmande. Pour jouer à Pokémon Go, vous deviez littéralement ouvrir votre compte Google à Niantic, qui se réservait le droit de modifier l’ensemble de vos données: l’application pouvait lire tous les courriels de votre compte Gmail, apporter des modifications à vos documents sur Google Drive, consulter votre historique de recherche, accéder à vos photos personnelles, etc. Et aucune fenêtre n’apparaissait, au moment de son installation, pour vous en prévenir.


À lire aussi:

Pokémon Go: ce n’est qu’un début!


Niantic — une ancienne filiale de Google — prétend que cet accès total au compte Google était un «accident». Et elle a rectifié le tir. L’ouverture d’un compte Pokémon Trainer ou un simple Google ID suffit maintenant pour l’authentification du joueur.

L’application mise au point par Niantic n’est pas la première à recueillir autant de renseignements. Mais ce qui dérange dans son cas, c’est l’ubiquité de la collecte de métadonnées tous azimuts, inhérente au bon fonctionnement de l’application.

Force est de constater que l’utilisation de Pokémon Go contribue à la société de surveillance, en plus de créer une couche supplémentaire d’espionnage orwellien. Le pistage d’informations devient non seulement socialement acceptable, mais attrayant, puisqu’il s’accompagne d’une récompense instantanée. L’ensemble des déplacements d’un joueur, son âge, ses habitudes Web valent leur pesant d’or dans l’univers de la publicité ciblée.

Pas étonnant que Pokémon Go soit gratuit. Le produit, ici, n’est pas le jeu. C’est le joueur. À cogiter.