Politique

Commentaire Dassault filtre ses candidats sur les réseaux sociaux – POLITICO

Cet article fait partie d’une enquête en plusieurs volets sur Altrnativ et le business de la cybersurveillance. Lire la suite.

PARIS – C’est un rapport de 18 pages, agrémenté de police de caractère rouge, de panneaux d’avertissement et d’un emoji feu rouge.

Les enquêteurs d’Altrnativ, une société de cybersécurité, se sont imposés à un candidat à un poste junior chez Dassault Aviation et ont décrété qu’elle était suspecte.

Le rapport décrit la femme comme “un risque fort et réel pour la sécurité et la sûreté de Dassault” et recommande à l’entreprise de défense “d’envoyer un rapport aux services de sécurité français”.

Leurs preuves : Les “connexions qu’elle a établies (sic) à travers ses comptes sur les réseaux sociaux”.

Le rapport, qui fait partie d’un ensemble de documents internes d’Altrnativ consultés par POLITICO, met en lumière la croissance rapide du secteur de la cybersurveillance, dans lequel les entreprises parcourent Internet à la recherche d’informations sur les rivaux, les détracteurs et les employés de leurs clients, avec peu ou pas de surveillance réglementaire.

Aidé par la prolifération des informations personnelles en ligne, notamment sur les réseaux sociaux, ce secteur a des implications préoccupantes pour les droits des minorités et la protection des informations touchant à la vie privée.

“Il y a un problème dans le modèle économique de ces entreprises, touchant à la manière dont les personnes peuvent faire valoir leurs droits et être en mesure de contrôler la façon sur l’étiquette”, explique Ravi Naik, avocat et directeur juridique de l’agence AWO, un cabinet spécialisé dans la protection des données, notant que ce secteur incite à la collecte massive de données personnelles.

Ces sociétés “existent pour créer des profils sur les individus sans que ces derniers le sachent”, at-il ajouté. “Plus elles disposent d’informations, plus leur argumentaire de vente est efficace auprès de clients potentiels”.

Le document, produit à l’été 2021 pour Dassault Aviation, décrit la candidate, une étudiante française d’origine nord-africaine, comme une “sympathisante” des Frères musulmans, une organisation islamiste internationale.

Pour étayer cette affirmation, le dossier indique que la femme a “aimé” les pages Facebook du CCIF et de BarakaCity, deux ONG musulmanes présentes dans les médias avant d’avoir été interdites par le gouvernement français en 2020. Elle “aimait” aussi la page appartenant au fondateur de BarakaCity, Idriss Sihamedi, qui a été reconnu coupable en 2021 de cyberharcèlement pour avoir intimidé des personnes sur Twitter.

La récolte de ce type d’informations dans un processus de recrutement pose la question au regard du droit de l’Union européenne. Les gouvernements peuvent traiter ce genre de données pour recevoir une habilitation de sécurité (telle que l’habilitation secret défense). Mais les entreprises privées, fussent-elles du secteur de la défense, doivent suivre des règles strictes en matière de protection de la vie privée, en particulier sur des questions telles que la religion.

Toujours pour étayer leur thèse, les enquêteurs soulignent que leur cible « aimait » la radio Beur FM et le média d’information Middle East Eye basé au Royaume-Uni, deux médias grand public. Le rapport indique également qu’elle a “suivi” (et non “aimé”) Tariq Ramadan, l’islamologue médiatique accusé de viol par de multiples femmes depuis 2017. Elle a également “suivi” le rapeur Médine, ajoute le rapport.

Le rapport n’a pas été établi quand la candidate avait aimé ces pages Facebook, ni pourquoi elle avait choisi de les suivre.

On y trouve en revanche une capture d’écran d’un post Instagram montrant des pâtisseries nord-africaines qu’elle aurait préparées pour une fête de l’Aïd al-Fitr, organisée par une association étudiante qui s’intéresse aux cultures arabes. Altrnativ a également noté qu’elle avait passé un semestre à l’université dans un grand pays musulman.

D’après le rapport, cette dernière information “soulève des questions sur ses motivations et une possible collusion avec une intelligence étrangère. Ce point n’est cependant pas formellement démontré et reste à qualifier.”

Alternative recommandée à Dassault de demander à la candidate pourquoi elle avait étudié à l’étranger alors que la France compte “de nombreuses universités proposées des cours [de langues] et des études [dans son domaine].”

La candidate n’a pas été embauchée par Dassault Aviation, qui n’a pas répondu à une demande de commentaire.

Signal faible

Istock

Pour les défenseurs de la protection des données personnelles, l’utilisation croissante de données personnelles en ligne, ou grattage de données, pour aider les entreprises à prendre des décisions importantes, comme une embauche, risque de renforcer certains préjugés et d’empiéter sur la vie privée.

« Le problème qu’on a souvent avec le data scraping, avec un minimum d’analyse ou déjà un biais derrière, c’est qu’on conforte une discrimination qui existe déjà par le biais de ces analyses », explique Estelle Massé, experte en protection des données pour l’ONG de défense des droits numériques Access Now.

“C’est non seulement une mise à mal de la vie privée, mais cela veut aussi dire que ce qu’on fait en ligne peut être utilisé à n’importe quel moment”, at-elle ajouté. “Donc ça veut dire qu’on n’a plus le droit de faire des erreurs dans notre vie, de penser une chose et d’évoluer.”

Cette collecte de données produit un “monde orwellien” et un “sentiment de surveillance constante”, analyse Max Schrems, fondateur du groupe de défense de la vie privée noyb (None of Your Business).

“Si les gens ont l’impression qu’ils ne peuvent pas ‘aimer’ quelque chose en ligne parce que, dans le futur, cela pourrait leur faire rater une embauche, cela crée un effet dissuasif”, ajoute-t-il. “Même si cela ne se produit pas en définitive, les gens pensent que cela pourrait leur arriver, et leur liberté d’expression en ligne est donc limitée.”

Autre produit d’autres enquêtes pour Dassault Aviation. POLITICO a ainsi pu consulter quatre autres rapports. L’un d’eux portait sur les politiques anticorruption d’une entreprise partenaire. Un autre concernait une affaire judiciaire impliquant de potentiels partenaires commerciaux. Ces rapports ne contenaient pas d’informations sur les familles ou les opinions personnelles de leurs cibles, au contraire des deux derniers documents.

À l’étape de l’enquête sur la candidate, ces deux rapports recherchaient une “éventuelle collusion avec des services de renseignement étrangers” et visaient des personnes d’origine nord-africaine.

Un rapport de 14 pages sur une ingénieure franco-algérienne travaillant pour Dassault n’a « pas mis en évidence de spécificités susceptibles d’établir un signal d’alerte envers une quelconque collusion avec une intelligence étrangère ». Mais il note que l’ingénieure est membre d’un groupe Facebook pour les personnes concernées par l’actualité algérienne.

Cette donnée est un “signal faible”, selon le rapport. Il conseille à Dassault d’être prudent si “la situation sociale en Algérie devait s’aggraver, compte tenu des voyages fréquents en Algérie” de l’ingénieure (Altrnativ n’a fourni aucune preuve de ces voyages).

Le dossier comprend par ailleurs des photos des très jeunes enfants de l’ingénieure, tirées de la page Facebook de son mari, dont le profil a également été dressé.

Le dernier rapport présente le profil d’un candidat franco-marocain à un poste d’ingénieur chez Dassault. On y trouve son nom d’utilisateur Instagram, son CV ainsi que le nom, la photo et le numéro de téléphone de sa femme. On y découvre également une photo de lui datant de 2007 et dénichée sur un blog de la plateforme Skyblog. Le montage semble avoir été réalisé par sa petite amie de l’époque, alors qu’il était adolescent. “Je t’aime pour toujours”, dit la légende.

Les enquêteurs n’ont trouvé aucune preuve concrète d’implication de leurs cibles dans des services de renseignement étrangers.

Les trois personnes sur demandé Altrnativ a enquêté n’ont pas souhaité répondre à nos questions. L’une d’entre elles a demandé à ne pas être identifiée de peur que cela nuise à son avenir professionnel.

Dans une interview accordée à POLITICO, Eric Leandri, PDG d’Alternative, affirme que les personnes sur lesquelles sa société est enquêtée pour collusion étrangère n’ont pas été sélectionnées en raison de leur origine ethnique. “Le racisme, c’est pas chez moi”, at-il déclaré. “Il n’y a pas de ciblage (…) rien à voir avec une origine, une ethnie”.

Lois sur la protection de la vie privée

Commentaire Dassault filtre ses candidats sur les réseaux sociaux – POLITICO
Istock

Ces trois rapports sont susceptibles d’avoir enfreint les lois européennes sur la vie privée, selon les experts juridiques interrogés par POLITICO.

En vertu du règlement général sur la protection des données de l’UE, également connu sous le nom de RGPD, les personnes faisant l’objet d’enquêtes de ce type doivent être informées de l’utilisation de leurs données et de la manière dont elles sont utilisées.

Les enfants dont les visages apparaissent dans le rapport sont également des individus avec leurs propres droits en matière de données, note Ravi Naik, l’avocat de l’agence AWO.

“Le traitement des données d’enfants est très, très problématique, en particulier lorsque l’objectif du traitement de leurs données semble si vague”, at-il déclaré. “Cela n’a pas pu être fait pour les besoins d’une enquête spéciale de quelque sorte, puisqu’il ne s’agit pas d’une enquête sur ces enfants. Il semble que ce soit purement par curiosité malsaine, et pour rassembler autant de données que possible sur la cible. Je ne vois pas comment cela peut se justifier, et j’espère que les autorités de réglementation agiront.”

La législation européenne en matière de protection de la vie privée est particulièrement stricte lorsqu’il s’agit de traiter des informations sur les opinions politiques ou la religion, même lorsque les informations compilées sont techniquement publiques.

Une exception est prévue si le traitement “porte sur des données à caractère personnel qui se manifestent rendues publiques” par la personne concernée, comme sa religion, explique Ravi Naik. Mais cela peut être délicat à déterminer.

“Si vous mettez sur Facebook ‘Je suis hindou’, et que quelqu’un traite cette information, cela semble couvert par l’exemption sur l’information ‘manifestement rendu public’. Mais si je commence simplement à tweeter sur la fête de Diwali, ai-je fait de ma religion une information publique ? La question de savoir s’il est légal de traiter ces informations est loin d’être simple”, a déclaré M. Naik.

Dans le premier rapport, Altrnativ a noté dans la rubrique “Engagement religieux” que le candidat avait utilisé la photo d’une mosquée comme photo de couverture sur LinkedIn.

Certains postes sensibles peuvent “justifier qu’on aille un peu plus loin sur la personne, et cela peut être diligenté auprès d’entreprises spécialisées. Mais la masse d’information doit toujours être proportionnée par rapport au poste à pourvoir”, explique Valérie Aumage , avocate française et responsable du département informatique de PwC Société d’Avocats. “Il faut pouvoir justifier auprès du salarié qu’il est nécessaire de fournir des informations sur sa famille.”

L’une des justifications possibles pour une enquête est qu’un employé peut être amené à manipuler des informations classées. Toutefois, dans ce cas, la loi est claire : l’enquête “est toujours effectuée par les autorités publiques”, précise Eric Delisle, chef du service de l’emploi, des solidarités, du sport et de l’habitat à la CNIL.

Aucun des trois rapports ne fait mention d’habilitation de sécurité.

Interrogé sur les enfreintes potentielles au RGPD, Eric Leandri n’a pas répondu.




Source link

Articles similaires