Do you remember when you were a child, you probably had a favorite toy that was a constant companion, like Christopher Robin had Winnie the Pooh, and your imagination fueled endless adventures? What could be more innocent than that? Well, let me introduce you to my friend Cayla.
Vous souvenez-vous, quand vous étiez enfant, vous aviez probablement un jouet favori qui était un compagnon permanent, comme Jean-Christophe qui avait Winnie l'Ourson, et votre imagination alimentait des aventures sans fin ? Que pourrait-il y avoir de plus innocent ? Bien, laissez-moi vous présenter mon ami Cayla.
Cayla was voted toy of the year in countries around the world. She connects to the internet and uses speech recognition technology to answer your child's questions, respond just like a friend. But the power doesn't lie with your child's imagination. It actually lies with the company harvesting masses of personal information while your family is innocently chatting away in the safety of their home, a dangerously false sense of security. This case sounded alarm bells for me, as it is my job to protect consumers' rights in my country. And with billions of devices such as cars, energy meters and even vacuum cleaners expected to come online by 2020, we thought this was a case worth investigating further. Because what was Cayla doing with all the interesting things she was learning? Did she have another friend she was loyal to and shared her information with? Yes, you guessed right. She did. In order to play with Cayla, you need to download an app to access all her features. Parents must consent to the terms being changed without notice. The recordings of the child, her friends and family, can be used for targeted advertising. And all this information can be shared with unnamed third parties.
Cayla a été élue jouet de l'année dans des pays du monde entier. Elle se connecte à internet et utilise la reconnaissance vocale pour répondre aux questions de votre enfant, pour répondre comme un véritable ami. Mais sa force ne repose pas dans l'imagination de votre enfant. Elle repose en fait chez l'entreprise, qui collecte des informations personnelles alors que votre famille discute, innocemment, en sécurité, chez elle. Un sentiment de sécurité dangereusement erroné. Cela a sonné mon signal d'alarme, car c'est mon travail de protéger les droits des consommateurs de mon pays. Et avec des milliards de dispositifs tels que les voitures, les compteurs d'énergie et même les aspirateurs, supposés devenir connectés d'ici 2020, nous nous sommes dit que c'était un cas nécessitant une enquête approfondie. En effet, que Cayla faisait-elle avec les choses intéressantes qu'elle apprenait ? Avait-elle un autre ami loyal avec lequel elle partageait ses informations ? Oui, vous l'avez deviné. Elle en avait un. Afin de jouer avec Cayla, vous devez télécharger une appli pour accéder à ses fonctions. Les parents doivent accepter les conditions qui changent sans prévenir. Les enregistrements de l'enfant, de ses amis et de sa famille peuvent servir à de la publicité ciblée. Et toutes ces informations peuvent être partagées avec des tiers inconnus.
Enough? Not quite. Anyone with a smartphone can connect to Cayla within a certain distance. When we confronted the company that made and programmed Cayla, they issued a series of statements that one had to be an IT expert in order to breach the security. Shall we fact-check that statement and live hack Cayla together? Here she is. Cayla is equipped with a Bluetooth device which can transmit up to 60 feet, a bit less if there's a wall between. That means I, or any stranger, can connect to the doll while being outside the room where Cayla and her friends are. And to illustrate this, I'm going to turn Cayla on now. Let's see, one, two, three. There. She's on. And I asked a colleague to stand outside with his smartphone, and he's connected, and to make this a bit creepier ...
C'est fini ? Pas tout à fait. N'importe qui avec un téléphone peut se connecter à Cayla dans un certain rayon. Quand nous avons confronté l'entreprise qui a conçu et programmé Cayla, elle a présenté une série d'affirmations selon lesquelles il fallait être un expert en informatique pour déjouer sa sécurité. Devrions-nous vérifier cette affirmation et pirater Cayla ensemble en direct ? La voilà. Cayla est équipée d'un dispositif Bluetooth qui peut émettre jusqu'à 18 mètres, un peu moins s'il y a un mur. Cela signifie que moi, ou n'importe qui, peut se connecter à la poupée en étant hors de la pièce où sont Cayla et ses amis. Et pour illustrer cela, je vais maintenant allumer Cayla. Voyons-voir, un, deux, trois. J'ai demandé à un collègue de rester dehors avec son téléphone et il est connecté, et pour rendre cela plus effrayant...
(Laughter)
(Rires)
let's see what kids could hear Cayla say in the safety of their room.
Voyons-voir ce que Cayla peut dire aux enfants, en sécurité dans la chambre.
Man: Hi. My name is Cayla. What is yours?
Homme : Salut, mon nom est Cayla. Quel est le tien ?
Finn Myrstad: Uh, Finn.
Finn Myrstad : Euh, Finn.
Man: Is your mom close by?
Homme : Ta mère est-elle là ?
FM: Uh, no, she's in the store.
FM : Non, elle fait les courses.
Man: Ah. Do you want to come out and play with me?
Homme : Veux-tu sortir et jouer avec moi ?
FM: That's a great idea.
FM : C'est une bonne idée.
Man: Ah, great.
Homme : Bien.
FM: I'm going to turn Cayla off now.
FM : Je vais éteindre Cayla maintenant.
(Laughter)
(Rires)
We needed no password or to circumvent any other type of security to do this. We published a report in 20 countries around the world, exposing this significant security flaw and many other problematic issues. So what happened? Cayla was banned in Germany, taken off the shelves by Amazon and Wal-Mart, and she's now peacefully resting at the German Spy Museum in Berlin.
Il n'y a eu besoin d'aucun mot de passe ni de contourner aucune sécurité pour réaliser cela. Nous avons publié un rapport dans 20 pays à travers le monde, dévoilant cette grande faille de sécurité et beaucoup d'autres problèmes. Que s'est-il donc passé ? Cayla a été bannie en Allemagne, retirée des étagères d'Amazon et de Wal-Mart et elle repose maintenant paisiblement au musée de l'espionnage de Berlin.
(Laughter)
(Rires)
However, Cayla was also for sale in stores around the world for more than a year after we published our report. What we uncovered is that there are few rules to protect us and the ones we have are not being properly enforced. We need to get the security and privacy of these devices right before they enter the market, because what is the point of locking a house with a key if anyone can enter it through a connected device?
Toutefois, Cayla a été vendue dans des magasins du monde entier pendant plus d'un an après la publication de notre rapport. Ce que nous avons découvert, c'est qu'il y a peu de règles protectrices et que celles que nous avons ne sont pas correctement appliquées. Ces appareils doivent être sûrs et protéger notre vie privée avant d'entrer sur le marché : pourquoi devrait-on verrouiller une maison avec une clef si tout le monde peut y entrer grâce à un dispositif connecté ?
You may well think, "This will not happen to me. I will just stay away from these flawed devices." But that won't keep you safe, because simply by connecting to the internet, you are put in an impossible take-it-or-leave-it position.
Vous pourriez vous dire : « Cela ne m'arrivera pas. Je resterai loin de ces appareils imparfaits. » Mais cela ne garantira pas votre sécurité car simplement en utilisant internet, vous êtes dans une situation cornélienne de type « à prendre ou à laisser ».
Let me show you. Like most of you, I have dozens of apps on my phone, and used properly, they can make our lives easier, more convenient and maybe even healthier. But have we been lulled into a false sense of security? It starts simply by ticking a box. Yes, we say, I've read the terms. But have you really read the terms? Are you sure they didn't look too long and your phone was running out of battery, and the last time you tried they were impossible to understand, and you needed to use the service now? And now, the power imbalance is established, because we have agreed to our personal information being gathered and used on a scale we could never imagine.
Laissez-moi vous montrer. Comme beaucoup, j'ai des dizaines d'applis sur mon portable et, utilisées correctement, elles peuvent faciliter notre vie, la rendre plus pratique et peut-être plus saine. Mais avons-nous été bercés dans un sentiment de sécurité trompeur ? Cela commence simplement en cochant une case. Nous disons oui. J'ai lu les conditions. Mais avez-vous vraiment lu les conditions ? Ne semblaient-elles pas trop longues, votre téléphone manquait de batterie et puis, la dernière fois, elles étaient impossibles à comprendre et vous aviez vite besoin de ce service ? Et désormais, le déséquilibre de force est établi car nous avons accepté que nos données personnelles soient collectées et utilisées à une échelle inimaginable.
This is why my colleagues and I decided to take a deeper look at this. We set out to read the terms of popular apps on an average phone. And to show the world how unrealistic it is to expect consumers to actually read the terms, we printed them, more than 900 pages, and sat down in our office and read them out loud ourselves, streaming the experiment live on our websites. As you can see, it took quite a long time. It took us 31 hours, 49 minutes and 11 seconds to read the terms on an average phone. That is longer than a movie marathon of the "Harry Potter" movies and the "Godfather" movies combined.
Mes collègues et moi avons ainsi décidé d'étudier cela plus profondément. Nous avons entrepris de lire les conditions d'utilisation des applis populaires d'un téléphone ordinaire. Et pour prouver au monde à quel point c'est irréaliste de s'attendre à ce que les gens lisent véritablement les conditions, nous les avons imprimées, cela fait plus de 900 pages, et nous nous sommes mis au travail pour les lire nous-mêmes à voix haute, en diffusant l'expérience sur nos sites internet. Vous pouvez le voir, cela a pris du temps. Cela nous a pris 31 heures, 49 minutes et 11 secondes pour lire les conditions d'utilisation d'un téléphone. C'est plus long qu'un marathon de films de la saga « Harry Potter » suivie de la trilogie « Le Parrain ».
(Laughter)
(Rires)
And reading is one thing. Understanding is another story. That would have taken us much, much longer. And this is a real problem, because companies have argued for 20 to 30 years against regulating the internet better, because users have consented to the terms and conditions.
Et lire est une chose. Comprendre en est une autre. Cela nous aurait pris bien, bien plus longtemps. Et c'est un vrai problème : les entreprises se sont opposées pendant 20 ou 30 ans à une meilleure réglementation d'internet car les utilisateurs ont accepté les conditions d'utilisation.
As we've shown with this experiment, achieving informed consent is close to impossible. Do you think it's fair to put the burden of responsibility on the consumer? I don't. I think we should demand less take-it-or-leave-it and more understandable terms before we agree to them.
Et nous l'avons montré avec l'expérience, accepter en connaissance de cause est presque impossible. Pensez-vous que c'est juste de faire peser la responsabilité sur le consommateur ? Moi, non. Nous devrions demander moins de « à prendre ou à laisser » et des conditions plus compréhensibles avant de les accepter.
(Applause)
(Applaudissements)
Thank you.
Merci.
Now, I would like to tell you a story about love. Some of the world's most popular apps are dating apps, an industry now worth more than, or close to, three billion dollars a year. And of course, we're OK sharing our intimate details with our other half. But who else is snooping, saving and sharing our information while we are baring our souls? My team and I decided to investigate this. And in order to understand the issue from all angles and to truly do a thorough job, I realized I had to download one of the world's most popular dating apps myself.
Maintenant, j'aimerais vous raconter une histoire à propos d'amour. Certaines applis les plus populaires sont des applis de rencontres, un secteur qui représente maintenant près de trois milliards de dollars par an. Et bien entendu, nous sommes d'accord pour partager nos détails intimes avec notre moitié. Mais qui d'autre fouine, enregistre et partage nos données alors que l'on dévoile notre être ? Mon équipe et moi avons décidé d'enquêter. Et afin de comprendre le problème sous tous ses angles et d'effectuer un travail vraiment minutieux, j'ai réalisé que je devais télécharger une des applis de rencontres les plus populaires au monde.
So I went home to my wife ...
Je suis rentré voir ma femme chez moi...
(Laughter)
(Rires)
who I had just married. "Is it OK if I establish a profile on a very popular dating app for purely scientific purposes?"
que je venais juste d'épouser. « C'est bon si je me crée un profil sur une appli de rencontres populaire uniquement à des fins scientifiques ? »
(Laughter)
(Rires)
This is what we found. Hidden behind the main menu was a preticked box that gave the dating company access to all my personal pictures on Facebook, in my case more than 2,000 of them, and some were quite personal. And to make matters worse, when we read the terms and conditions, we discovered the following, and I'm going to need to take out my reading glasses for this one. And I'm going to read it for you, because this is complicated. All right.
Voici ce que nous avons trouvé. Cachée derrière le menu principal, il y avait une case pré-cochée qui donnait à l'entreprise l'accès à toutes mes photos Facebook personnelles, dans mon cas plus de 2 000 photos, dont quelques-unes vraiment personnelles. Et ce n'est pas le pire ; quand nous avons lu les conditions, nous avons découvert cela -- je vais sortir mes lunettes pour lire ceci -- et je vais lire pour vous, car c'est compliqué. Bien.
"By posting content" -- and content refers to your pictures, chat and other interactions in the dating service -- "as a part of the service, you automatically grant to the company, its affiliates, licensees and successors an irrevocable" -- which means you can't change your mind -- "perpetual" -- which means forever -- "nonexclusive, transferrable, sublicensable, fully paid-up, worldwide right and license to use, copy, store, perform, display, reproduce, record, play, adapt, modify and distribute the content, prepare derivative works of the content, or incorporate the content into other works and grant and authorize sublicenses of the foregoing in any media now known or hereafter created."
« En postant du contenu » -- c'est-à-dire vos photos, vos messages et autres interactions dans l'appli -- « cela faisant partie du service, vous donnez automatiquement à l'entreprise, ses affiliés, ses licenciés et ses successeurs un droit irrévocable, » -- vous ne pouvez pas changer d'avis -- « perpétuel, » -- soit, pour toujours -- « non exclusif, transmissible, cessible, acquitté et universel d'utiliser, copier, garder, accéder, afficher recopier, enregistrer, jouer, adapter, modifier, distribuer, préparer des travaux dérivés du contenu, ou incorporer le contenu dans d'autres travaux et autorisez les droits ci-dessus dans n'importe quel média déjà connu ou créé a posteriori. »
That basically means that all your dating history and everything related to it can be used for any purpose for all time. Just imagine your children seeing your sassy dating photos in a birth control ad 20 years from now.
Cela veut simplement dire que tout votre historique de rencontres et tout ce qui y est lié peut être utilisé dans n'importe quel but, à vie. Imaginez simplement vos enfants voir vos photos fougueuses de rencontres utilisées dans une pub de contraception dans 20 ans.
But seriously, though --
Mais sérieusement --
(Laughter)
(Rires)
what might these commercial practices mean to you? For example, financial loss: based on your web browsing history, algorithms might decide whether you will get a mortgage or not. Subconscious manipulation: companies can analyze your emotions based on your photos and chats, targeting you with ads when you are at your most vulnerable. Discrimination: a fitness app can sell your data to a health insurance company, preventing you from getting coverage in the future. All of this is happening in the world today.
que peuvent signifier ces pratiques commerciales ? Par exemple, une perte financière : selon votre historique de recherche, des algorithmes décident si vous pouvez faire un emprunt. Être manipulé : les entreprises analysent vos émotions selon vos images et vos messages et vous ciblent avec des pubs lorsque vous êtes le plus vulnérable. Être discriminé : une appli de fitness peut vendre vos infos à une assurance-vie, ce qui vous empêchera d'être couvert plus tard. Tout cela est d'actualité dans le monde aujourd'hui.
But of course, not all uses of data are malign. Some are just flawed or need more work, and some are truly great. And there is some good news as well. The dating companies changed their policies globally after we filed a legal complaint. But organizations such as mine that fight for consumers' rights can't be everywhere. Nor can consumers fix this on their own, because if we know that something innocent we said will come back to haunt us, we will stop speaking. If we know that we are being watched and monitored, we will change our behavior. And if we can't control who has our data and how it is being used, we have lost the control of our lives.
Bien sûr, les données ne sont pas toujours utilisées nuisiblement. Certaines sont imparfaites, incomplètes et d'autres sont très bonnes. Et il y a aussi de bonnes nouvelles. Les entreprises de rencontres ont changé leurs politiques après que nous avons porté plainte. Mais les organisations comme la mienne, qui défendent nos droits, ne peuvent pas être partout. Le consommateur ne peut pas résoudre ça seul non plus, car s'il sait que quelque chose d'innocent qu'il a dit peut revenir le hanter, il ne parlera pas. Si nous savons que nous sommes observé et espionné, nous changerons notre comportement. Si nous ne pouvons contrôler la possession et l'utilisation de nos données, nous avons perdu le contrôle de notre vie.
The stories I have told you today are not random examples. They are everywhere, and they are a sign that things need to change. And how can we achieve that change? Well, companies need to realize that by prioritizing privacy and security, they can build trust and loyalty to their users. Governments must create a safer internet by ensuring enforcement and up-to-date rules. And us, the citizens? We can use our voice to remind the world that technology can only truly benefit society if it respects basic rights.
Les histoires que j'ai racontées aujourd'hui ne sont pas des cas isolés. Elles sont partout et elles sont un signe que les choses doivent changer. Et comment peut-on effectuer ce changement ? Les entreprises doivent comprendre qu'en faisant de la vie privée et de la sécurité des priorités, elles peuvent bâtir la confiance et la loyauté de leurs clients. Les gouvernements doivent créer un internet plus sûr en assurant l'application et l'actualisation des règles. Et nous, les citoyens ? Nous pouvons utiliser notre voix pour rappeler au monde que la technologie ne peut réellement bénéficier à la société que si elle respecte les droits fondamentaux.
Thank you so much.
Merci beaucoup.
(Applause)
(Applaudissements)