Evernote ferait-il tout pour être le cauchemar des RSSI ?
Les conditions d’utilisation du service de prise de notes prévoient un accès de ses employés à des notes des utilisateurs. Une source de préoccupations quant à la confidentialité.
Certains RSSI ne s’en cachent pas et clament parfois sans ambages qu’Evernote compte parmi ses services Cloud qui les empêchent de profiter sereinement de leurs nuits. Et la situation risque d’empirer avec les nouvelles conditions d’utilisation du service de prise de notes.
Dans une note d’information relative à celles-ci, qui entreront en vigueur fin janvier, Evernote explique ainsi que sa nouvelle « politique de confidentialité permet à certains employés […] d’exercer un contrôle des technologies d’apprentissage machine appliquées aux contenus des comptes ». Entre les lignes, on comprendra donc qu’il s’agit de nourrir des algorithmes de machine learning dit supervisé où des analystes aident à la classification de contenus ayant vocation à être traités automatiquement. Evernote ne s’en cache pas et précise d’ailleurs que « le principal objectif est de vérifier que nos technologies d’apprentissage machine fonctionnement correctement pour vous montrer des contenus et fonctionnalités pertinents ».
Pour rassurer, le service assure limiter « strictement le nombre d’employés qui ont accès aux données des utilisateurs » qui en ont besoin pour ces missions. Il précise en outre que « les antécédents des employés qui ont accès aux données des utilisateurs font l’objet d’une vérification » et que ceux-ci « suivent une formation spéciale » régulière, « au moins une fois par an » sur les « normes et exigences en matière de sécurité et de confidentialité ». Evernote évoque également des mesures de sécurité spécifiques à l’accès aux « environnements sécurisés » de stockage des données de ses utilisateurs.
Pas sûr, toutefois, que cela suffise à rassurer les RSSI faisait la chasse au shadow IT. Mais peut-être Evernote mise-t-il indirectement sur ces craintes pour pousser à l’adoption de l’édition Business de son service ? De fait, comme il le précise, « les administrateurs de compte Evernote Business peuvent refuser l’apprentissage machine pour le compte Business […] en se rendant dans la console d’administration ». Les utilisateurs individuels des dernières versions du client Evernote Windows ou Mac peuvent également empêcher les employés du service d’accéder à leurs données en demandant le chiffrement complet des textes de leurs notes.
Le sujet n’a pas manqué de déclencher des débats animés sur Twitter. Ces derniers ont conduit Evernote à réagir. Jouant l’humilité, le service a évoqué « une communication faible » et martelé ses objectifs associés à l’entraînement d’algorithmes d’apprentissage machine supervisé. Pas sûr que cela convainque les utilisateurs les plus scrupuleux ou susceptibles de prendre des notes en intégrant des données soumises à un cadre réglementaire stricte. Et quand bien même si Evernote assure que « si une machine identifie une information personnelle, il la masquera » à des employés qui ne doivent de toute façon « voir qu’un fragment de ce qu’ils vérifient ». Ce qui, au passage, interpelle sur l’efficacité à attendre réellement d’une supervision où l’analyste risque d’être privé d’un contexte souvent indispensable à la pleine compréhension des contenus à qualifier.