Lorsque Max Schrems, un militant autrichien de la vie privée, a demandé à voir ses données personnelles que Facebook stockait sur ses serveurs, on lui a envoyé un CD-ROM contenant un document de 1 222 pages.

Ce fichier, qui s’étendrait sur près d’un quart de mile s’il était imprimé et mis bout à bout, offrait un aperçu de l’appétit de Facebook pour les détails privés de ses 1,65 milliard d’utilisateurs.

Les informations comprenaient les numéros de téléphone et les adresses électroniques des amis et de la famille de M. Schrems ; un historique de tous les appareils qu’il utilisait pour se connecter au service ; tous les événements auxquels il avait été invité ; toutes les personnes qu’il avait « amies » (et qu’il avait ensuite supprimées) ; et une archive de ses messages privés.

Il y avait même des transcriptions de messages qu’il avait supprimés.

Mais M. Schrems, qui dit n’avoir utilisé Facebook qu’occasionnellement sur une période de trois ans, estime qu’une part non négligeable d’informations lui a été cachée.

Il a reçu des enregistrements de données pour environ 50 catégories, mais pense qu’il y en a plus de 100, dit-il à la BBC.

« Ils ont retenu mes données de reconnaissance faciale, qui est une technologie qui peut m’identifier grâce à mes photos. Ils ne divulguent pas non plus les informations de suivi, qui sont les choses encore plus effrayantes qu’ils font – des choses comme si vous avez lu une page web sur une voiture de sport et combien de temps vous l’avez lue. »

Facebook peut même suivre l’utilisation d’internet des non-membres grâce à des cookies placés sur leurs machines, comme l’a confirmé une récente décision de justice en Belgique.

L’expérience de M. Schrems illustre de manière frappante les défis auxquels nous sommes confrontés dans une ère numérique remplie d’apps de messagerie, de réseaux sociaux, de moteurs de recherche sur mesure, de clients de messagerie et d’apps bancaires, qui collectent tous des données personnelles sur nous et les stockent, quelque part, dans le cloud.

Mais où se trouvent exactement toutes ces données, comment sont-elles utilisées et dans quelle mesure sont-elles sécurisées ?

Les quatre grands

Plus de la moitié du stockage en nuage louable dans le monde est contrôlée par quatre grandes entreprises. Amazon est de loin le plus grand, avec environ un tiers de la part de marché et plus de 35 centres de données à travers le monde.

Les trois plus grands fournisseurs suivants sont Microsoft, IBM et Google, et chacun d’entre eux adopte un schéma mondial similaire de fermes de serveurs.

Plusieurs de ces grands fournisseurs de cloud public dupliquent habituellement les données des utilisateurs sur leurs réseaux. Cela signifie que les informations téléchargées sur le cloud au Royaume-Uni ou aux États-Unis, par exemple, sont susceptibles d’être transférées à un moment ou à un autre vers des serveurs situés dans de grandes villes du monde, de Sydney à Shanghai.

Le problème avec cela, dit le professeur Dan Svantesson, spécialiste du droit de l’Internet à l’Université Bond, en Australie, est qu' »il y a toujours un risque que le pays où vont vos données n’ait pas le même niveau de protection… ».

« Si vos données se retrouvent dans un autre pays, on peut ne pas savoir qui y a accès, que ce soit les fournisseurs de réseau ou les forces de l’ordre », dit-il.

Benjamin Caudill, consultant en cybersécurité chez Rhino Security Labs à Seattle, s’inquiète également de la façon dont ces données sont distribuées.

« Personne ne sait vraiment comment la saucisse est fabriquée », déclare M. Caudill, dont le travail consiste notamment à tester les défenses des entreprises par le biais du « hacking éthique ».

« Il est très difficile de comprendre où sont stockées vos données. Bien souvent, les entreprises elles-mêmes ne sont pas sûres de l’endroit où peuvent résider toutes les données. »

Il raconte qu’un de ses clients, qui utilisait le service de cloud Azure de Microsoft, a été victime d’un piratage – toutes les données et les sauvegardes ont été supprimées.

Mais après avoir creusé un peu, il est apparu qu’une partie des données perdues avait été stockée ailleurs sur les serveurs d’Azure. Bien que cela ait été un soulagement pour le client de M. Caudill, la nature apparemment aléatoire du placement des données sur les serveurs de Microsoft ne l’a pas rempli de confiance.

« Personne ne sait vraiment à quel point les services de cloud sont sécurisés par les principaux fournisseurs », dit M. Caudill, qui soupçonne que « tant Amazon qu’Azure ont eu des compromis de sécurité majeurs à un moment donné. »

Bris de sécurité?

Pour leur part, tous les grands fournisseurs de cloud public disent que la sécurité est une priorité.

Au centre de serveurs de Google en Caroline du Sud, par exemple, des gardes patrouillent les portes et emploient des scanners d’iris biométriques aux entrées du sanctuaire intérieur. Des faisceaux laser sous le plancher détectent les intrus.

Mais aucun d’entre eux ne dirait qu’ils n’ont jamais eu de brèches de sécurité.

Un porte-parole de Microsoft a déclaré à la BBC : « Microsoft s’est engagé auprès de ses clients à les aider à protéger leurs données et à leur donner les moyens de prendre des décisions concernant ces données. Nous recommandons aux clients de visiter le Microsoft Trust Center pour en savoir plus sur la façon dont leurs données sont gérées et sécurisées. »

Amazon souligne que les clients « conservent la propriété et le contrôle de leur contenu. Ils choisissent l’emplacement où stocker leurs données et celles-ci ne se déplacent pas, sauf si le client décide de les déplacer. »

Cette possibilité de choisir dans quelle région vos données sont stockées s’avère de plus en plus populaire auprès des entreprises, notamment dans l’Union européenne où le nouveau règlement général sur la protection des données, très strict, doit entrer en vigueur en 2018.

Poste à tes risques et périls

Mais nous, consommateurs, n’avons souvent pas ce luxe.

« Les données de votre compte Gmail sont absolument sur plus d’un serveur. Elles sont absolument dans plus d’un pays », déclare le professeur Svantesson.

Mais pourquoi devrions-nous nous en soucier ?

Plus nos données sont éparpillées dans le monde, plus elles sont vulnérables aux pirates, affirme M. Caudill – une supposition confirmée par le fait que la fraude d’identité est en hausse.

Alors que les gens continuent de télécharger leurs informations numériques en ligne, dans un marais de complexités juridiques territoriales et de protocoles de sécurité nationaux non divulgués, le professeur Svantesson offre quelques conseils pratiques – que beaucoup de gens ne suivent toujours pas.

« Je suggérerais de ne jamais mettre quoi que ce soit de sensible sur le nuage, comme des informations de carte de crédit, ou des images personnelles que vous ne voulez pas que les autres voient.

« Il y a des choses que vous devriez simplement laisser à vous-même », conseille-t-il.

Suivez le rédacteur en chef de Technology of Business @matthew_wall sur Twitter

Cliquez ici pour plus de caractéristiques de Technology of Business

.