Google simplifie sa politique de vie privée et crée l'inquiétude

Chéri, pourquoi j'ai des liens sponsorisés vers des sex toys ? 80
Vincent Hermann
Google a publié sur son blog une annonce concernant un changement à venir dans sa politique de sécurité. « Sa » politique car à partir du 1er mars prochain, la firme souhaite unifier les politiques de nombreux pays pour n’en garder qu’une, plus courte, plus simple à comprendre et sans surprises. Du moins pour qui sait lire entre les lignes.

Simplifier pour mieux servir...

La quasi-totalité des services de Google sont donc rassemblés sous le même parapluie pour tout ce qui touche à la sécurité et à la vie privée. On savait que certains services Google pouvaient s’échanger des données en fonction des actions de l’utilisateur dans l’un d’entre eux. Désormais, cette politique sera commune à plus de 70 services, ce qui offre en fait un certain nombre d’avantages, mais également d’inconvénients.

Le gros « plus » de cette décision est qu’elle va rendre le fonctionnement des services concernés beaucoup plus cohérent. L’utilisateur bénéficiera d’un suivi qui modèlera le panel en fonction de ses actions. Concrètement, cela signifie qu’une recherche sur Google sur un sujet particulier pourrait modifier les vidéos proposées par YouTube. Mais cela fonctionnerait aussi avec une détection géographique par Latitude. Les services communiquent entre eux silencieusement.

Google indique sur la page de sa future politique unifiée qu’elle collecte les informations selon deux angles : les informations demandées spécifiquement, comme lors de l’inscription à Gmail, et celles obtenues automatiquement par l’utilisation des services. Ces dernières peuvent être de différents types :
  • Les informations de l’appareil : Android fait partie des produits concernés et peut donc transmettre des données telles que le modèle de smartphone, le constructeur, la version du système, etc.
  • Les informations basées sur les logs de connexion telles que les recherches effectuées, les détails techniques des appels téléphoniques (numéros de téléphone, transferts, durée des appels, etc.), les adresses IP, l’activité système, les crashs, les cookies reliés à l’identification, le navigateur et ainsi de suite.
  • Les informations de géolocalisation
  • Les numéros uniques d’applications, quand celles-ci sont installées ou supprimées ou quand elles contactent les serveurs de Google pour vérifier les mises à jour disponibles.
  • Stockage local, via le Web Storage du HTML5 ou les caches de données. Google peut utiliser ces derniers pour enregistrer des informations, y compris personnelles.
  • Utilisation des cookies et des identificateurs anonymes pour collecter et stocker des informations, méthodes utilisées entre autres pour les partenaires, notamment pour la publicité.
Google indique que ces données sont toujours protégées, mais si leur fuite vers des sources tierces peut être empêchée, c’est bien leur utilisation par Google qui peut faire grincer des dents.

... ou simplifier pour mieux régner ?

Car sous la nouvelle politique, plus rien n’empêche les services de communiquer entre eux de manière invisible, ce qui peut provoquer quelques surprises. Puisque Google aborde la publicité, il faut savoir que Latitude pourrait tout à fait transmettre votre position géographique aux autres services. De fait, cela pourrait directement influer sur les publicités que l’on voit par exemple dans Gmail.

Jusqu’à présent, les publicités étaient modifiées en fonction de certaines actions effectuées volontairement dans les services, ou lors de la lecture d’un mail puisque Gmail en analyse le contenu. Avec la nouvelle politique, plus de 70 services pourront créer un contexte autour de l’utilisateur et donc une base sur laquelle s’appuyer pour proposer toujours plus de recommandations, y compris dans les résultats de Google.

Cette concentration devrait notamment se retrouver sous Android qui rassemble en un même lieu un très grand nombre de services.

Pourquoi un tel changement ?

Google a souhaité simplifier les choses, c’est évident. La nouvelle politique se lit rapidement, les termes sont clairs et sans pièges réels. La différence se fait surtout dans l’interprétation qui est faite. L’âme de cette simplification tient en un seul paragraphe :

« Notre nouvelle politique de respect de la vie privée indique clairement que, si vous êtes authentifié, nous pouvons combiner les informations que vous avez fournies sur un service avec celles des autres services. En clair, nous vous traiterons comme un utilisateur unique à travers tous nos produits, ce qui signifiera une expérience Google plus simple et plus intuitive. »

La force de cette unification est justement la simplicité, qui peut être à la fois son plus gros avantage et son plus grand inconvénient.

Les précautions de Google

La firme de Mountain View veut jouer la transparence et explique comment les données sont partagées. Les informations sensibles ne peuvent l’être que sur accord volontaire de l’utilisateur, autrement dit de l’opt-in. La finesse des données partagées avec les tiers dépend ensuite du contexte. Dans le cas de partenaires, les données peuvent être personnelles, mais « pas trop », certaines étant par ailleurs anonymisées. En outre, d’autres partages sont rendus obligatoires par les lois en vigueur selon les pays.

Dans tous les cas, Google informe que la permission de l’utilisateur sera toujours demandée quand une donnée personnelle pourrait être utilisée pour autre chose que le service sur lequel il se trouve. L’éditeur fournit en outre dans la préversion de sa politique de vie privée plusieurs liens pour contrôler les informations, via le Dashboard, paramétrer les publicités, modifier la manière dont le profil apparaît ou encore avec qui l’utilisateur partage des informations.

Google indique par ailleurs que la plupart de ses services bénéficient d’une connexion sécurisée par SSL. La firme s’engage également à ne jamais réduire les droits de l’utilisateur sans l’en informer préalablement.

Inquiétudes à l’heure de l’oubli numérique

L’annonce de Google fait écho à celle de la Commission européenne qui souhaite mettre en place un dispositif de droit à l’oubli numérique. Un projet actuellement mis en avant par Viviane Reding pour que le citoyen ait le pouvoir de contrôler ce « qui est mis en ligne ». Reding espère que les entreprises de l’internet exposeront clairement ce qui est fait des données, ce qui est précisément le but de la manœuvre de Google.

Mais surtout, le projet doit permettre, sur simple demande, d’effacer un contenu représentant l’utilisateur, comme une photo gênante sur Facebook. Et là, Google ne dit rien. Ce qui provoque notamment les inquiétudes de l’Electronic Privacy Information Center (EPIC) et de l’Electronic Frontier Foundation (EFF). Le premier craint une vraie baisse de la protection de la vie privée tandis que la seconde estime qu’il s’agit d’un aveu assumé de mieux exploiter les données des utilisateurs.