Comment sont traitées vos données personnelles ?

La plateforme de portabilité de l’ISC-PIF (CNRS) ne stocke que le strict nécessaire à l’opération de reconnexion : les correspondances entre comptes X/BlueSky/Mastodon et la liste de vos abonnées (par ailleurs publique). Toutes ces données sont par défaut détruites à la fin de la reconnexion. Enfin, l’application de portabilité n’agit pas sur votre compte X. A vous de décider ce que vous souhaitez en faire.

Vous vous posez des questions, c’est bien !

Votre archive X contient énormément de données personnelles et vous devez légitimement vous demander, après les avoir données à Elon Musk, quelles garanties vous avez si vous les donnez aussi à OpenPortability ?

Les traitements des donnnées effectués par la plateforme de portabilité de l’ISC-PIF (CNRS) sont décrits sur le site du projet de recherche. Nous vous en faisons ici un résumé, non contractuel.

Les principes généraux

Le respect de la vie privée est au cœur de la démarche HelloQuitteX. Nous nous sommes assurés que le laboratoire ISC-PIF (CNRS ) qui coordonne le développement sous licence libre et héberge la plateforme OpenPortability adopte la même démarche. Le code étant open source dans un soucis de transparence, vous pouvez à tout moment prendre connaissance du code qui est exécuté par la plateforme.

Un comité sécurité et RGPD indépendant dont est membre notamment la Quadrature du Net a par ailleurs audité le code et son implémentation sur les serveurs de l’ISC-PIF.

Mais concrètement, ça donne quoi ?

L’ensemble des traitement effectués par la plateforme OpenPortability sont décrits dans la note d’information sur la protection des données de la plateforme

Nous vous invitons à lire ce document pour avoir les informations les plus précise possibles. Ce qui suit résume grosso-modo les traitements.

Quelles sont les données que nous stockons ?

Associations de vos comptes

Lorsque vous vous identifiez sur OpenPortability.org avec l’un de vos comptes de réseau social (X, BlueSky, Mastodon), la plateforme n’a pas accès à votre mot de passe. C’est le service tiers du réseau social en question qui nous garantit que vous être bien qui vous êtes.

Les seules données qu’OpenPortability stocke sont donc les associations entre comptes, que l’on sait certifiées grâce à vos identifications successives.

Partage des données followers et followees

Pour vous reconnecter sur BlueSky et Mastodon, OpenPortability a avons besoin de savoir avec qui vous êtes connecté.e sur X. Cette information est publique et disponible sur votre profil, mais difficilement exploitable d’un point de vue informatique. OpenPortability a donc besoin des fichiers follower.js et following.js qui listent vos abonnés sortant et entrant. Leur contenu ressemblent à ça :
...{    "follower" : {      "accountId" : "755137239156490240",      "userLink" : "https://twitter.com/intent/user?user_id=755137239156490240"    }  },  {    "follower" : {      "accountId" : "66714410",      "userLink" : "https://twitter.com/intent/user?user_id=66714410"    }  },...

Il y a deux manière de nous les donner :

• Quelque soit la taille de votre archive X, mais obligatoirement si elle fait plus de 1Go, vous pouvez décompresser l’archive et transmettre uniquement les deux fichiers following.js et follower.js (présents dans le répertoire data) dans le même téléversement.
• Si votre archive fait moins de 1Go, vous pouvez aussi la glisser/déposer entièrement et directement dans l’espace dédié sur OpenPortability (plus rapide). Le contenu de l’archive n’est pas transféré sur les serveurs de l’ISC-PIF. L’archive est décompressée localement dans votre navigateur qui ne nous transmet que le fichiers following.js et follower.js. Ce comportement peut être vérifié sur le compte github de l’application

Remarquez que nous seuls les TwitterId sont stocker, OpenPortability n’a donc aucune méta-données sur les utilisateurs.

Bilan

OpenPortability ne traite sur ses serveurs que des données nécessaires pour fournir le service, les associations déclarées de comptes ainsi que les listes d’abonnées qui sont déjà des informations publiques mais que X a bien pris soin de rendre difficiles à extraire automatiquement, notamment pour limiter les possibilités d’exode.

Mais attendez, c’est pas fini ! Demandons nous ce que X stocke sur ses serveurs ... C’est facile, c’est dans l’archive complète. La question est de savoir si ça vous va que ces données soient désormais entre les mains d’un Elon Musk et de l’administration Trump.

Ce que X stocke sur vous et ce qu’il peut en faire

Vos données sociaux-démographiques

Le fichier ageinfo.js contient ... votre âge et date de naissance.

Le fichier ip-audit.js contient toutes les adresses IP de vos connexions avec la date et l’heure. Cela permet de connaître exactement vos habitudes de déplacements et d’inférer, par exemple votre lieu de travail et votre domicile même si vous ne les avez pas communiqués pour autant que vous y consultiez X. Si vous avez des rendez-vous médicaux réguliers et que vous avez l’habitude d’y consulter X, on peut inférer des éléments sur votre santé. Idem si vous consultez depuis des lieux de pratique religieuse, de pratiques sociales spécifiques, etc.

Le fichier email-address-change.js contient toutes les adresses emails associées à votre compte depuis le début. Valorisable à la revente également pour faire des associations entre différents comptes ouverts avec différentes adresses sur d’autres plateformes.

Le fichier personalization.js vous catégorise dans une liste géante de critères. Ce sont vos goûts inférés par X. Extrêmement valorisable sur le marché des données personnelles. Il peut être complété par lists-member.js qui dit de quelles listes vous êtes membres ainsi que par like.js qui donne tous les tweets que vous avez likés.

Liste de vos direct messages (DM)

Fichier : direct-messages.js et direct-messages-group.js

Les messages directs (DM), c’est à dire les messages échangés entre utilisateurs et donc non publics donnent une fausse impression de confiance. Beaucoup de secrets ont été dit en DM depuis la création de Twitter en 2006 entre journalistes, hommes politiques, influenceurs, entrepreneurs, etc.

Sauf si vous avez explicitement fait le choix du chiffrement, ce qui est rare, ces DM sont en clairs dans votre archive et X et ses propriétaires y ont aussi accès en clair. De plus, même si vous avez fait le choix du chiffrement, ce qui implique que vous payez un abonnement Twitter Blue (9,6 euros par mois), comme l’a relevé The Wired :

• Le correspondant doit aussi être un membre de Twitter Blue qui a activé (opt in) le chiffrement de bout en bout ;
• Il ne fonctionne pas pour les discussions de groupe  ;
• Il ne fonctionne pas pour l’envoi de photos ou de vidéos

C’est le moment de relire vos DM pour vérifier qu’il n’y a rien de confidentiel. Avec Musk et Trump, on ne sait jamais...

Liste de vos interactions avec les publicités

Fichier : ad-engagements.js

Ce fichier contient la liste de toutes les publicités avec lesquelles vous avez interagit : texte de la publicité, date d’interactions, mots clés associés. Ceci est très précieux pour faire du profilage ou pour revendre à des tiers.

Liste des Tweets effacés

Fichier : deleted-tweets.js
Si vous croyiez qu’il suffisait d’effacer un tweet pour qu’il n’existât point, c’est raté. Ce fichier liste tout ce que vous avez voulu supprimer (sans jamais vraiment y arriver du coup ...).

Toutes vos photos depuis le début !

Enfin, si vous voulez vous faire un petit panorama, ouvrez le dossier data/tweets_media.js et data/direct_messages_media.js, ce sont tous vos films et photos depuis le début !!! Merci qui ?