Après Facebook, c'est au tour de Google de profiter de son show annuel pour une séance de privacy washing. Le géant américain veut se montrer plus respectueux de nos données, sans changement de fond. Il est surtout question de petites évolutions et autres subtilités dans sa communication.
Comme nous l'avons récemment évoqué, face à l'évolution du discours de certains acteurs, mais aussi la montée en puissance de concurrents très engagés pour le respect de la vie privée, cette valeur qui devient à la mode. Surtout que les choses changent aussi du côté réglementaire, avec de premières lourdes amendes qui commencent à tomber.
Ainsi, il faut multiplier annonces et garanties pour éviter de finir dans le fossé. Mais dans des cas comme ceux de Facebook et Google, cela se fait sans changer le modèle économique sur le fond alors qu'il dépend massivement de la collecte de données. Le tout sous couvert de « vie privée qui fonctionne pour tous ».
L'idée est donc de faire bouger les lignes sans aller trop loin. Facebook a opté pour la facilité avec de simples promesses, restant flou à l'occasion de sa conférence annuelle, la F8. Google a choisi d'évoquer de premières actions. L'objectif est ici plus subtil : faire bouger les lignes pour donner l'impression d'un changement, tout en restant dans un cadre qui permette à la société de continuer à collecter et exploiter en masse les données des utilisateurs.
Un « juste milieu » à son avantage qui nous rappelle que le géant américain n'est pas prêt à prendre des risques ou aller contre ses intérêts à court terme. L'annonce récente sur le service Mon activité est un bon exemple de ce privacy washing.
Non minimisation de la collecte
L'utilisateur peut ainsi demander l'effacement automatique des données après une certaine période, ce qui est après tout le sens de la loi en Europe et en France depuis une dizaine d'années. Mais il doit se contenter de trois mois minimum. Pendant un trimestre entier, il verra donc ses données collectées et exploitées, sans parler de toutes celles qui sont dérivées ou issues d'autres services, qui ne sont pas concernés par cet effacement.
Surtout, Google oublie une précision : l'activité web a été rendue obligatoire pour l'utilisation de ses enceintes connectées Home. Une requête qui n'a aucune justification technique. Et quand bien même, un service légèrement dégradé pourrait être proposé à l'utilisateur. Or, cela va bien plus loin comme nous l'avons vu par deux fois (ici et là).
Pourtant, s'il y a bien une bonne pratique en matière de respect de la vie privée, c'est bien celle de la minimisation de la collecte. C'est elle que Google cherche à éviter à tout prix, cherchant à continuer d'exploiter nos données en donnant le plus possible l'impression à l'utilisateur qu'il a tout pouvoir, alors qu'il n'a accès qu'à quelques réglages aux effets limités.
Le cas du mode incognito : gare aux faux semblant
La Google IO 2019 a été l'occasion d'une autre annonce qui illustre bien ce propos : l'arrivée d'un mode incognito dans toutes les applications. Inactif par défaut, il faudra demander à l'utiliser à certains moments, service par service (YouTube est déjà concerné, Maps et Search arrivent). Pourquoi pas l'inverse ?
Google semble indiquer qu'il faudra passer par une action manuelle pour le mettre en place ou le retirer, là aussi il faudra voir comment cela fonctionne dans la pratique. C'est néanmoins une avancée dans le bon sens si tout est fait dans les règles de l'art et si l'utilisateur peut d'un clic (ou presque), demander à ne pas voir son historique d'usage récolté.
Mais le diable est dans les détails, l'exemple du navigateur montrant bien les limites de tels dispositifs. Car le mode incognito n'implique pas que Google n'a aucune connaissance de vos agissements. Seulement qu'elle s'engage à ce que ne soit pas stocké dans votre compte. Comme dans les autres navigateurs, cela signifie seulement que l'historique et les cookies locaux sont effacés, et vous n'y êtes connectés à aucun compte. C'est une session vide et temporaire.
Mais Chrome multiplie toujours les requêtes vers les serveurs de Google et les sites peuvent toujours vous identifier autrement que par vos cookies, comme votre IP ou une empreinte par exemple. Ici, il faudra donc être attentif à ce que le mode incognito implique techniquement une fois appliqué et aux limitations éventuelles qui seront constatées.
YouTube : un exemple à ne pas suivre
YouTube est d'ailleurs un cas intéressant à analyser. Le mode incognito est uniquement disponible sur Android et iOS, si vous êtes connecté à votre compte et il faut penser à le faire appareil par appareil. Vous êtes alors alerté que cela n'empêche pas une surveillance de votre activité par des tiers, ce qui est plutôt une bonne chose.
Lorsqu'il est actif, une barre noire apparaît en bas de l'écran « pour vous rappeler que vous êtes en mode navigation privée ». YouTube se comportera alors... comme si vous étiez déconnecté, ne prenant plus du tout en compte votre historique, coupant l'accès à de nombreuses sections de l'application. Une manière de rendre ce mode désagréable à l'usage.
Les paramètres par défaut, ceux du mode incognito, le mode incognito sans personnalisation et sa barre noire
Vous y verrez alors les tendances par défaut, le meilleur selon les algorithmes maison (aux choix discutables). Pourtant, Google pourrait très bien ne pas enregistrer votre activité tout en exploitant les données qu'il a déjà sur vous puisque vous êtes connecté. Elle choisit de ne pas le faire, volontairement.
La société semble vouloir ici éviter que les utilisateurs ne se déconnectent manuellement en leur permettant de le faire temporairement sous couvert de mode incognito. Notez d'ailleurs que « si vous êtes inactif pendant plus de 90 minutes, votre session de navigation privée est désactivée, et vous êtes reconnecté au compte que vous utilisiez avant l'activation du mode. Lorsque vous accédez à nouveau à l'application YouTube, un message vous informe que le mode navigation privée n'est plus activé ». Il ne faudrait pas que ça dure.
Autant dire que l'on espère que la réalisation sera un peu plus réussie et en faveur de la vie privée pour Maps et Search.
Améliorer l'image d'Android, fédération des données
Face à un Apple qui mise fort sur l'argumentaire de la vie privée ces dernières années, Google doit redoubler d'efforts sur Android. Il faut dire que le sujet n'a jamais été vraiment la priorité de l'OS mobile, qui a par exemple longtemps tardé à rendre les autorisations fournies aux applications amovibles dès l'installation. Sans parler de sa fragmentation.
Ainsi, les utilisateurs sont souvent laissés sur le carreau des évolutions en attendant qu'ils se paient un nouvel appareil. Un point sur lequel la société semble décidée à faire des efforts concernant les fonctionnalités liées à la vie privée et la sécurité qui ne seront plus forcément liées à la mise à jour de l'OS.
Une cinquantaine doivent être introduites avec Android Q, attendu pour la fin de l'année. Mais il est surtout question d'un accès plus direct aux réglages liés à la vie privée et de notifications quand telle ou telle application récupère vos données de localisation par exemple, plutôt qu'une minimisation de la collecte, là encore.
Le modèle est amélioré localement (A), les évolutions des utilisateurs sont aggrégées (B) pour initier un changement après consensus (C)
Google évoque néanmoins une piste qui va dans le bon sens, misant sur sa tendance à l'IA partout : la fédération et un renforcement de l'edge computing. Ainsi, les développeurs n'auraient plus forcément à récolter l'ensemble de vos données pour renforcer les capacités des applications et entrainer leurs modèles, elles peuvent rester sur votre appareil.
La société veut ainsi faire mieux/plus, avec moins de données. Reste à voir ce qu'il en sera dans la pratique, Gboard en profitant déjà en test, l'assistant maison devant suivre (au moins en partie). La tendance n'est en tous cas pas nouvelle et va dans le sens de nombreuses recherches en la matière, Cozy Cloud et Orange ayant par exemple des travaux en cours avec l'équipe PETRUS d'INRIA sur le sujet. On pense aussi au chiffrement homomorphe.
Une publicité plus transparente, via une extension/API Google
Pour enfoncer le clou, Google est revenu sur la question de la publicité en ligne. Cœur de son modèle économique, symbole de sa collecte massive de données, elle est souvent l'objet d'une communication voulant montrer que Google fait tout pour être le plus vertueux possible. Parfois avec des annonces qui font flop.
On se souvient du fameux bloqueur de publicité et les engagements pour un web où l'internaute serait moins ennuyé par les réclames, qui ont été presque sans effet. Dans le même temps, Brave s'est développé, vient d'annoncer vouloir remplacer les publicités des sites par les siennes, attirant les utilisateurs avec une commission (dans un premier temps).
Un modèle économique discutable, puisqu'il vise à supprimer les revenus des éditeurs pour les capter à leur insu, leur proposant une part du gâteau, sans trop avoir le choix. Une pratique qui n'a rien d'un web ouvert et respectueux tel que le vante la startup, qui ne manquera pas de faire réagir les sites lorsqu'ils auront conscience de ce qui se passe.

Quoi qu'il en soit, avec la montée en puissance de Microsoft avec son Edge Chromium, Apple et Mozilla qui renforcent leur politique en matière de vie privée et/ou de publicités, des initiatives comme Brave qui montent en puissance, le géant américain apparaît comme le vilain petit canard voulant préserver Chrome de toute évolution qui lui serait néfaste.
Le navigateur, actuellement ultra majoritaire et donnant une partie de sa force de frappe à Google, pourrait à terme s'attirer le désamour des utilisateurs, un phénomène accéléré par les nouvelles règles imposées en Europe.
Là aussi, il lui faut réagir, tout du moins à la surface. La société rappelle donc qu'elle permet de désactiver le ciblage publicitaire de différentes manières, même si là encore cela devrait être l'inverse. Elle promet également une extension pour différents navigateurs permettant d'avoir le détail des données utilisées affichées pour ses publicités.
Une annonce assez ironique, puisque cela revient à fournir à une extension de Google le pouvoir de connaître l'ensemble de notre navigation afin d'accéder à des informations supplémentaires, pour plus de transparence.
Quoi qu'il en soit, d'autres sociétés pourront décider de participer à cette initiative, une API allant être mise à leur disposition afin de partager les informations de leurs campagnes publicitaires avec les utilisateurs. Le tout doit être mis en place dans les mois à venir, sans plus de détails pour le moment.
Chrome, les cookies et le pistage
Concernant Chrome, les évolutions se font sur deux fronts. Le premier est celui des cookies, là encore avec une astuce. Pour rappel, un cookie peut être déposé à des fins techniques (connexion, préférences, etc.) ou autre (identifiant, actions effectuées etc.), le navigateur n'ayant aucun moyen de savoir qui fait quoi, puisqu'il s'agit de simples fichiers textes.
La loi en Europe est claire sur le sujet : les cookies techniques peuvent être déposés sans consentement. Pour tous les autres, ils doivent obtenir l'accord de l'utilisateur au préalable, celui-ci devant être informé de leur finalité. Une loi encore assez peu respectée, même un an après l'entrée en vigueur du RGPD en Europe, dans l'attente de première sanctions.
Ces dernières années, les navigateurs ont travaillé à diverses solutions. Cela consiste en général à limiter les cookies tiers, qui sont déposés sur un site pour le compte d'un autre. Par exemple, si vous vous rendez sur une page mais qu'une publicité essaie de déposer un cookie, il y a peu de chance que ce soit pour un aspect technique légitime.
Parfois c'est le cas, notamment pour la connexion unifiée à travers différents sites, passant par un domaine tiers. Faire le tri est donc difficile, chacun affine donc peu à peu ses mécaniques. Chrome n'en intègre pas, restant sur du tout ou rien.
Un cookie peut être déposé par différents sites sur une page. Il peut être exploité sur différents sites, notamment pour vous pister
Pour donner le change, Google revient sur un attribut lié aux cookies supporté depuis quelques temps par les navigateurs : SameSite
(RFC 6265). Il permet aux développeurs de déclarer dans quel contexte une requête peut accéder aux données qu'ils contiennent, tout en gardant une compatibilité avec la syntaxe existante.
Deux valeurs sont définies par la RFC, strict
ou lax
, Google indique qu'il en supportera un troisième, puisque cet attribut va devenir progressivement obligatoire dans Chrome :
- Strict : le cookie ne peut être accédé que par le site qui l'a déposé, seulement en accès direct
- Lax : le cookie peut être accédé par le site qui l'a déposé, même après une navigation
- None : le cookie peut être accédé par un site tiers, sans restriction
Le fait que la navigation soit nécessaire est important dans le cas de lax
car il implique une action volontaire de l'utilisateur. SameSite
a en effet été conçu surtout comme une mesure de sécurité plutôt que de vie privée. Cet attribut vise à contrer différentes attaques, notamment CSRF (Cross-site Request Forgery) où un utilisateur connecté à un service peut y effectuer une action à travers un autre sans le savoir, dans le cas d'un phishing par exemple.
Pour la vie privée, c'est une autre histoire. Car si l'initiative est louable, on revient au problème de départ : si les éditeurs et leurs partenaires ne jouent pas le jeu, le dispositif est sans intérêt. Google va-t-il ainsi déclarer tous ses cookies publicitaires et ceux liés à ses services sans nécessité technique comme strict
, lax
ou none
?
La réponse semble donnée dans une note du billet de blog : « si vous fournissez un service utilisé par d'autres sites comme des widgets, des scripts embarqués, des programmes d'affiliation, de la publicité ou une connexion à travers des sites tiers, vous devrez utiliser la valeur none ». Cela n'apporte donc rien de concret, quoi que tente de faire croire la société.
Dans tous les cas, Chrome 76 va introduire un nouveau flag permettant d'activer un comportement où l'attribut SameSite
est considéré comme étant sur lax
par défaut, si rien n'est précisé. De quoi permettre aux développeurs de voir ce qui les attend à plus long terme, ce fonctionnement devant être la norme dans les prochains mois.
Réduire les possibilités de fingerprinting, un jour
On apprend également que le navigateur « va restreindre de manière plus aggressive le fingerprinting, notamment en réduisant les manières dont les navigateurs peuvent être exploités à cette fin » et améliorer la transparence sur les cookies. Pas de date, pas de détails. On est donc encore loin des actions mise en œuvre par la concurrence.
Les mois à venir nous montrerons si les tours de passe-passe de Google suffisent à améliorer son image en matière de respect de la vie privée, où ses engagements semblent bien moins forts que sur la question tout aussi importante de la sécurité qui est, elle, dans son intérêt.