LinkedIn & Office 2013: une adresse email est-elle une donnée privée ?

LinkedIn, le réseau social professionnel, vient d’annoncer sur son blog que son plugin social sera intégré nativement à la prochaine version d’Outlook (2013). Il était jusqu’alors disponible dans Outlook via un plugin Outlook Social Connector (également proposé pour Facebook ou Viadeo) à télécharger séparément.

1. L’intégration de LinkedIn dans Outlook

Le fonctionnement est assez simple et intuitif: vous liez votre compte LinkedIn à Outlook. Dès lors, pour chaque message Outlook que vous visualisez, vous obtenez des informations en provenance du réseau social pour chacune des adresses e-mail liés à ce message (expéditeur, destinataires directs ou en copie). Le plugin est assez addictif car vous avez accès, à partir de l’application phare de votre PC, aux mises à jour de vos relations LinkedIn mais également à des informations sur l’expéditeur et les destinataires d’un message à partir du moment où ils sont présents sur le réseau social et que leurs paramètres de confidentialité ne sont pas trop restrictifs.

Capture d'écran du plugin Outlook Social Connector pour LinkedIn

Capture d’écran du plugin Outlook Social Connector pour LinkedIn (Source: microsoft.com)

Personnellement j’ai tout de suite adopté ce connecteur social et j’en ai fait un usage régulier et intensif.

2. Les flux échangés

J’ai commencé à me poser des questions le jour où j’ai vu apparaître parmi les suggestions de relations (« Les connaissez-vous? ») sur le site web www.linkedin.com, des personnes qui avaient été en copie de mails dont j’étais moi-même en copie !

Suggestions de relations sur LinkedIn

Fonctionnalité de suggestion de relations sur LinkedIn

On peut discuter de l’intérêt de la feature, mais ce qui m’a interpellé est l’échange de données entre Outlook et LinkedIn et l’utilisation de ces données par LinkedIn.

Je me suis donc muni de mon fidèle Fiddler (oui, c’est assez dur à prononcer :), un proxy HTTP sous Windows, afin de tracer les échanges entre mon Outlook et les serveurs de LinkedIn :

  • A l’ouverture d’un e-mail et du connecteur, une requête est envoyée par Outlook à LinkedIn contenant les adresses e-mail de l’expéditeur et des destinataires directs (A:) et indirects (Cc:)
    • La connexion à LinkedIn n’est pas encrypté (HTTPS), les adresses de vos contacts transitent donc en clair sur Internet !!!
    • Mais elles sont quand même encodées via un hash, ce qui sécurise un peu
Trace HTTP pour LinkedIn Outlook Social Connector

Capture de la requête envoyée par Outlook à LinkedIn

  • En retour, LinkedIn retourne à Outlook les profils de son graphe social pour les adresses e-mail inscrites à son service, notamment :
    • Nom et Prénom
    • Titre du profil
    • Photo
    • Si le profil est une relation
    • La date d’expiration des informations (Outlook demande une mise à jour du profil toutes les 24 heures)

Quel est le problème me direz-vous ? L’envoi de données d’identification est nécessaire à la fonctionnalité, sans quoi comment Outlook pourrait obtenir des informations sur ces adresses e-mail ?
Le problème n’est pas seulement l’envoi de données à LinkedIn mais leur conservation et leur exploitation par le réseau social.

3. Une adresse e-mail est-elle une donnée privée ?

La déclaration de confidentialité de Microsoft concernant son plugin Outlook Social Connector est assez courte et précise : on y apprend que tous les destinataires d’un message sont susceptibles d’être transmis au réseau social, que les adresses email sont hashés… mais la page renvoie souvent à la politique de confidentialité du réseau social (sans lien direct par ailleurs!) pour en savoir plus.

La déclaration de confidentialité de LinkedIn est plus longue (7 pages) et, comme toutes les politiques de confidentialité des réseaux sociaux, assez obscure. On trouve pêle-mêle « Nous faisons usage de vos données pour […] fournir vos coordonnées aux tiers qui proposent des services partenaires avec LinkedIn» ou « Nous ne vendons pas, ne louons pas, ni ne communiquons en aucune manière vos informations personnelles identifiables à tout tiers sans votre consentement sauf lorsque cela est nécessaire pour exécuter vos instructions ».

LinkedIn affiche aussi bien en évidence, le logo TRUSTe, qui est une société US de droit privé connue pour délivrer des « sceaux de confidentialité » aux sites respectant certaines règles en matière de protection de la vie privée de leurs utilisateurs (plus de détails et sur Wikipedia). Outre le fait qu’il s’agisse d’une auto-certification, il est intéressant de noter que LinkedIn s’engage à respecter ces règles uniquement pour les données collectées sur le site web www.linkedin.com, mais en aucun cas pour les plugins dont le Outlook Social Connector (section 5 B) !!!

LinkedIn se donne donc les coudées franches pour faire à peu près ce qu’il veut des adresses email que vous lui transmettez via le plugin Outlook. Ces adresses valent de l’or pour lui car il peut en faire plusieurs utilisations :

  • Graphe social étendu : Le graphe social (social graph en anglais) a été popularisé par Facebook, il s’agit de la modélisation de l’ensemble des interactions entre les relations d’un réseau social. Véritable mine d’or potentielle, il doit permettre de mieux vous comprendre et donc de mieux cibler publicités et services qui vous sont proposés. Alors que traditionnellement, les noeuds de ce graphe représentent vos « relations » (des utilisateurs qui ont accepté votre invitation), l’Outlook Social Connector va permettre à LinkedIn d’aller plus loin en incluant les utilisateurs auxquels vous n’êtes pas directement liés mais qui ont pris part à une interaction (une « discussion » email dans Outlook) avec vous. On s’oriente alors vers la modélisation de « graphe d’intérêts » (voir Wikipedia) beaucoup plus intéressant à monétiser que le graphe social. On notera également qu’Outlook dispose d’un cache de 24h sur les profils, il sera donc possible à LinkedIn de connaître la fréquence à laquelle vous interagissez avec vos contacts email !!!
  • Collecte d’adresses email pour des campagnes de recrutement d’utilisateurs
  • Suggestions de relations pour vous ou l’expéditeur et les destinataires du message

4. Conclusion

Une simple adresse email en copie d’un message constitue donc une véritable donnée privée (et même une donnée « privée » professionnelle) et elle doit donc être protégée à juste titre.

L’intégration native du plugin dans Outlook 2013 a été saluée ici et là comme une avancée et la preuve de la nouvelle dimension « sociale et collaborative » de la suite Office : bien que cela soit définitivement dans l’air du temps (et Microsoft ne pouvait pas passer à côté), cette annonce constitue selon moi un risque supplémentaire à prendre en compte par les utilisateurs et les entreprises.
Outlook est surtout utilisé par un public professionnel et très présent dans les PME et les grands groupes, notamment via le serveur Exchange. Alors que l’intégration avec Facebook a peu d’intérêt et sera sûrement désactivée par une majorité d’entreprises, il en ira différemment pour LinkedIn : le site web est déjà utilisé en direct par beaucoup d’employés et en premier lieu par les équipes commerciales. Il sera donc intéressant de voir la réaction des DSI des entreprises face à ce nouveau risque de fuite de données.

Enfin, je ne serai pas étonné qu’après le rachat de Yammer, un réseau social d’entreprise, Microsoft s’intéresse à une plus grosse prise comme LinkedIn.

Partaget cette article sur

759 commentaires sur « LinkedIn & Office 2013: une adresse email est-elle une donnée privée ? »