Mega, vraiment une "Privacy Company" ?
Mega a été lancé samedi passé et compte déjà plus d’un million d’utilisateurs inscrits. Une véritable ruée. Après ce succès qui ne va probablement pas ravir les artistes, sociétés de gestion et autres majors, je vous propose une visite accélérée dans les conditions générales (CGU) de Mega ainsi que dans sa politique de confidentialité.
Megaupload est mort, voici Mega. Et les deux n’ont rien à voir.
Le point sur la sécurité
Mega est décrit comme un service de stockage chiffré de données permettant notamment le partage de ces données. Tous les fichiers stockés sont chiffrés par défaut au moyen d’un chiffrement utilisant un système de clés publique/privée chiffrées en RSA 2048 bits, ce qui signifie que “personne” à part l’utilisateur ne peut voir ce que contient le fichier à moins de partager la clé publique permettant le déchiffrement.
Les données de connexion et celles fournies pour la création du compte ne sont pas chiffrées par Mega car le service a besoin de les utiliser pour que Mega remplisse sa part du contrat.
Concernant la sécurité, il semblerait que des experts dans le domaine aient mis le doigt sur au moins un problème : Mega peut apparemment désactiver le chiffrement pour certains utilisateurs et sans qu’ils soient au courant. De plus, il semblerait que de grosses failles de sécurité existent, permettant notamment d’accéder à l’espace privé d’un utilisateur.
Certes, le service vient d’ouvrir ses portes, il est jeune, en bêta et nécessite une période de rodage et de débogage. Mais pour le moment, je doute qu’il soit judicieux de stocker des données sur Mega, surtout si ces données ont un caractère personnel, voire sensible.
Conditions générales d’utilisation
Le chiffre 5 des CGU dispose que chaque utilisateur autorisant l’accès (via un lien et la clé publique de déchiffrement) aux données qu’il stocke chez Mega est responsable des actions et omissions des tiers utilisant Mega pour télécharger ces données. L’utilisateur s’engage à indemniser Mega pour toute réclamation, tout dommage ou autre chef de responsabilité au cas où les CGU seraient violées.
Mega n’assure pas qu’il n’y aura pas de perte de données ou de bug, c’est pourquoi il convient de toujours en garder des copies (chiffre 7 des CGU).
Mega peut supprimer automatiquement vos données s’il trouve une copie exacte de ces données chez un autre utilisateur ; dans ce cas, vous aurez accès aux données correspondantes chez l’autre utilisateur. Et vice versa (8).
Les CGU disposent aussi que lorsque votre compte est fermé, Mega peut supprimer vos données. Pour autant qu’ils en aient envie (9).
En stockant, téléchargeant ou en transmettant de toute autre manière des données chez Mega, l’utilisateur garantit être au bénéfice d’un droit de propriété intellectuelle (titularité ou licence). À ce sujet, l’utilisateur accepte de donner à Mega une licence mondiale et gratuite pour utiliser, stocker, sauvegarder, copier, transmettre, distribuer, communiquer ou rendre accessible ses données dans le but de permettre à l’utilisateur – et aux personnes qu’il autorise – d’utiliser Mega (16).
Mega vous interdit notamment de violer la propriété intellectuelle d’autrui (17.3) et d’utiliser Mega pour stocker ou transmettre de toute autre manière des données en violation du droit (17.5.1).
Mega affirme respecter le droit d’auteur et requiert de ses utilisateurs d’en faire de même, en leur interdisant notamment d’enfreindre le droit d’auteur. Mega s’engage à répondre aux demandes de suppression de contenu des ayants droit et se réserve aussi le droit de supprimer sans préavis les données violant le droit d’auteur, voire de supprimer le compte de l’utilisateur en question (19).
En cas de litige, l’utilisateur s’engage à le régler par une procédure d’arbitrage conforme au droit néozélandais (41 et suivants).
Politique de confidentialité
Mega déclare conserver les informations suivantes : les données relatives à la création du compte, des journaux (communication, trafic, utilisation du service, etc.), des informations personnelles incluses dans les données stockées par le service. Les adresses IP sont également enregistrées. Des données non personnelles (notamment à des fins statistiques et publicitaires) sont aussi récoltées et conservées, peuvent être incorporées à d’autres informations et données à des publicitaires, mais de façon à ce que l’utilisateur ne puisse pas être identifié.
Les données sont conservées aussi longtemps que l’utilisateur est inscrit à Mega, sous réserve des conditions générales relatives à la suspension et à la fermeture d’un compte par Mega.
Les données étant chiffrées avant leur envoi sur les serveurs, Mega déclare ne pas pouvoir y accéder sans la clé publique qui vous est remise. Mega s’engage à fournir les données d’utilisateurs aux autorités de n’importe quel pays et de leur prêter assistance.
L’utilisateur dispose d’un droit d’accès aux données personnelles stockées par Mega, selon le droit néozélandais. Ce droit d’accès peut être facturé. La question qui se pose, dès lors qu’une collecte d’information a lieu en Suisse (pour les utilisateurs suisses) ce qui implique que la loi fédérale sur la protection des données est applicable, est celle du conflit entre ces deux droits. Le droit suisse prévoit un droit d’accès en principe gratuit (art. 8 LPD, art. 1 et 2 OLPD) sauf exception, ce qui n’est pas le cas du droit néozélandais qui prévoit qu’une contribution financière raisonnable peut être exigée (Privacy Act 1993, Section 35, Clauses 2 et suivantes).
Mega, vraiment une “Privacy Company” ?
Une entreprise qui se prétend être une “société de confidentialité” et qui collecte néanmoins des données personnelles sur ses utilisateurs, en particulier les adresses IP, avouez que c’est cocasse. De fait, les éventuels whistleblowers, les personnes en infraction au droit d’auteur et autres “réfractaires” au droit de leur pays seront livrés aux autorités si leur pays vient toquer à la porte de Mega. Les informations personnelles ne seront donc pas divulguées à d’autres personnes à part les autorités. Du moins selon les CGU applicables pour le moment.
Certains sites avaient remarqué que les CGU ou la politique de confidentialité contenaient des dispositions relatives à la solvabilité des utilisateurs, et que ces données pouvaient être partagées avec n’importe qui. Ces dispositions semblent avoir disparu à l’heure où j’écris cet article, et c’est tant mieux.
Mega est donc un service offrant de la sécurité (relative pour le moment) pour vos données. Mais n’espérez pas qu’il garantira votre anonymat. Bien au contraire. Mega n’a rien à voir avec Megaupload et est prêt à collaborer avec les autorités. Même si le chiffrement des fichiers est un sérieux bâton dans leurs roues.