En novembre, la Toile libanaise s’est mobilisée contre l’utilisation de fichiers de données personnelles par des sociétés libanaises, pour vendre des informations privées à partir de numéros de plaques d’immatriculation et de téléphone, sans l’accord préalable des particuliers.
Deux sociétés qui vendaient sur iTunes App Store (la boutique en ligne d’Apple) des applications pour iPhone, iPod Touch et iPad, sont visées : Double U App proposait pour 6,99 dollars deux applications permettant d’obtenir des informations privées à partir d’un numéro de téléphone ou d’une plaque d’immatriculation de voiture ; et Mobile Technology Tomorrow (MT2) offrait pour 3,99 dollars des services de répertoire et répertoire inversé. LebTel, une application (gratuite) sur le réseau social Facebook proposait également les mêmes services, mais elle fonctionnait de manière irrégulière.
Concrètement, en introduisant dans l’application Lebanon Car Directory de Double U App le numéro de plaque d’immatriculation de n’importe quelle voiture, une personne pouvait accéder aux données personnelles de son propriétaire : nom, prénom, adresse, numéro de téléphone, si la voiture est achetée à crédit, etc. En introduisant dans les applications de répertoire inversé de MT2 et de Double U App des numéros de téléphone, l’utilisateur pouvait connaître le propriétaire du numéro et son adresse.
La base de données qui a servi à la construction de ces applications provient du fichier de la Mécanique au ministère de l’Intérieur. Ce fichier est distribué à toutes les banques pour que les Libanais puissent s’y acquitter de leurs paiements annuels. Autant dire que les sources potentielles de fuite sont nombreuses, et que les parties concernées se rejettent mutuellement la faute. Apparemment, ce fichier était disponible au noir depuis un certain nombre d’années, mais c’est la première fois qu’une utilisation commerciale en est faite.
Quant aux informations obtenues à partir des numéros de téléphone, il est possible qu’elles proviennent des opérateurs de téléphonie mobile eux-mêmes ou de parties tierces. Selon des informations du ministère des Télécoms, il y a quelques années, une société répondant au nom de Double U, appartenant au même propriétaire que Double U App, à savoir Ayman Jomaa, a conclu un accord avec Mic 1 et Mic 2 (les appellations officielles des réseaux mobiles) pour acheter des codes à quatre chiffres. Par la suite, d’autres compagnies ont eu accès à la base de données des opérateurs mobiles pour proposer des services de répertoire. L’ont-elles revendu à Double U, Double U App et MT2 ? La question reste ouverte. Double U n’a pas répondu aux appels du Commerce du Levant.
Une campagne s’était montée sur le Net pour demander à la société à la pomme de retirer ces applications de la vente, pour atteinte à la vie privée ; Apple, qui prélève 30 % sur toutes les transactions réalisées sur son site, a répondu en disant que lesdites applications ne violaient aucune règle de la compagnie et qu’il fallait contacter directement leurs concepteurs.
Les ministères de l’Intérieur et des Télécoms affirment tous les deux avoir déféré le problème devant le procureur général. À l’heure d’aller sous presse, les applications litigieuses n’étaient plus disponibles sur iTunes. Et celle de Facebook ne fonctionnait plus. Mais les bases de données Access à l’origine des applications continuent de circuler sous le manteau, comme l’a confirmé un blogueur qui les a lui-même obtenues.
Pour rappel, et tant que la loi sur les transactions électroniques ne sera pas votée (voir article précédent), le code pénal libanais ne prévoit rien quant à la protection des données personnelles. Dans la pratique, selon l’avocat Michel Kadige, les services d’annuaires inversés sont généralement bien acceptés, d’autant plus qu’en théorie, lorsqu’un particulier s’inscrit à un service de téléphonie, l’opérateur doit lui demander s’il veut que son numéro soit public ou non. Par contre, le nombre d’informations fournies par le service d’annuaire à partir de la plaque minéralogique dépasse le cadre normal admis. Le fait de rendre l’adresse des particuliers disponible atteint leur sécurité physique et le fait de fournir certaines informations financières touche au secret bancaire. Dans le cas présent, le droit de la propriété s’applique, toujours selon Michel Kadige : ce fichier est la propriété du gouvernement libanais, et à moins que l’État ne l’ait vendu ou donné (ce qu’il a légalement le droit de faire), il ne devrait pas être en possession de particuliers, qu’ils l’utilisent ou non à des fins commerciales.