Le ministère des Armées, Qwant, Google et le RGPD

Faites ce que je dis...
Internet 13 min
Le ministère des Armées, Qwant, Google et le RGPD
Crédits : PeopleImages/iStock

Deux mois après avoir fait de Qwant le moteur de recherche par défaut de ses ordinateurs, le ministère des Armées passait à... Google pour son propre site (defense.gouv.fr). Il a fallu attendre ce mois de juillet 2020 pour qu'il se conforme enfin au RGPD, sans pour autant respecter les conditions d'utilisation de Google.

Le 1er octobre 2018, Florence Parly, ministre des Armées, avait eu recours à une anaphore (largement retweetée) pour annoncer que les ordinateurs de son ministère cesseraient d'utiliser le moteur de recherche de Google par défaut, au profit de Qwant :

Le communiqué précisait que « Florence Parly a rappelé son attachement à voir le ministère des Armées mener à bien une transformation numérique ambitieuse au profit des utilisateurs tout en confortant notre souveraineté ». Mais également qu'elle avait « souhaité rappeler l'importance que le ministère des Armées construise des partenariats industriels solides et contribue à voir émerger des acteurs numériques français et européens de confiance », et appelait enfin à « une plus grande ouverture du ministère aux logiciels libres ».

« Cela fait deux ans et demi - trois ans que l'armée fait des tests, réussis visiblement ! Nos soldats méritent de ne pas être traqués. Ce gouvernement a décidé d'y aller et c'est très bien ! », s'était félicité Éric Leandri, alors PDG de Qwant : « Pour la Défense, la protection des données, ça a du sens. Alors c'est un premier pas très significatif pour la réflexion globale ».

« Le ministère des Armées va désormais utiliser Qwant plutôt que Google », avait de son côté titré Ouest France, rappelant les avantages de Qwant, tel qu'expliqué par Éric Leandri : « vous arrivez sur Internet avec votre adresse IP : c’est votre numéro de téléphone. Nos sympathiques concurrents récoltent les cookies qui contiennent toutes vos opérations sur Internet ; ça vous lie à leurs plateformes. Ils savent ce que vous faites. Nous, on rend votre numéro de téléphone et on vous rend anonyme : quand vous m’appelez en numéro masqué, je vous réponds quand même, mais je ne sais pas qui vous êtes. »

Google pour la recherche du site du ministère

En décembre 2018, soit deux mois plus tard seulement, le site web du ministère des Armées relançait son propre moteur de recherche interne avancée. En toute discrétion, sans tambour ni trompette, et pour cause : il repose en effet sur le moteur de recherche personnalisé de Google, CSE (Custom Search Engine).

Depuis renommé Programmable Search Engine (PSE), ce service permet d'ajouter un moteur de recherche affichant des résultats personnalisés à n'importe quel site, limité à un ou plusieurs domaines en particulier, plutôt que sur le Web en général. Le tout en utilisant les technologies de Google.

Étrangement, le ministère a configuré son moteur personnalisé pour n'interroger que www.defense.gouv.fr, empêchant les internautes d'identifier des contenus pertinents hébergés sur d'autres sites que celui de son vaisseau amiral. Or, defense.gouv.fr dénombrerait (au moins) 85, 190 voire plus de 400 sous-domaines (serveurs de mail, de test et extranets compris), dont de nombreux autres sites, Google y répertoriant près de 750 000 pages (quand bien même ce genre de chiffre s'avère à l'épreuve approximatif) hors périmètre de www.defense.gouv.fr.

Non content de recourir à une solution propriétaire plutôt qu'à un logiciel libre – qui plus est américaine plutôt qu'émanant d'« acteurs numériques français et européens de confiance » – le site du ministère des Armées obligeait dès lors (et encore maintenant) ses utilisateurs d'accepter d'être tracé par Google, dans mesure où il n'existe pas d'option permettant à CSE/PSE d'être utilisé sans ses cookies.

Et ce, alors même que Qwant permet pourtant aux sites d'en faire son moteur de recherche interne par défaut, à l'instar du site du journal Le Monde par exemple. Une solution dont l'entreprise ne fait pas mention dans la liste des produits mis en avant sur son site. Et elle ne semble s'en être vanté que sur Twitter.

On note d'ailleurs que les résultats proposés par Le Monde ne paraissent pas connaître de limite, alors que suite à nos enquêtes Qwant avait limité ceux de son moteur de recherche à 50 réponses seulement. Au surplus, ils ne sont pas restreints aux pages datant de l'été – voire de l'automne – 2019, comme l'étaient (et le sont souvent encore) ceux proposés par Qwant, comme nous l'avions découvert au printemps dernier.

Juillet 2020 : le site respecte (presque) RGPD, pas les CGU de Google

Cette bascule vers Google comme moteur de recherche interne par défaut est d'autant plus étonnante que, pendant des années, le site du ministère – qui s'appelait alors « de la défense » – disposait de sa propre solution. Depuis (au moins) 2010 (d'après archive.org) et jusqu'à fin 2014, il permettait d'affiner ses recherches par date et type de document, mais également par aire de site (Salle de presse, Opérations, DGSE, Blessés, etc.).

Sans explication, le moteur cessa de fonctionner à partir du 15 janvier 2015, renvoyant à une page indiquant « Fonction temporairement désactivée ». Archive.org n'a de fait conservé de copies qu’entre 2010 et 2016. 

Mindef recherche avancéeMindef désactivée

Le site du ministère n'informait pas les internautes de la finalité des cookies utilisés non plus que de la possibilité de les refuser, pas plus qu'il ne leur permettait d'obtenir leur consentement préalable. Il ne respectait donc ni la loi informatique et libertés ni le RGPD, qui avait pourtant été adopté en 2016, et était entré en vigueur en mai 2018, soit 7 mois plus tôt.

Il a ainsi fallu attendre ce mois de juillet 2020 pour que ses équipes se décident enfin à installer tarteaucitron.js, script open source de gestion de cookies répondant aux exigences du RGPD.

Par défaut, l'internaute aura probablement le réflexe de cliquer sur le lien bleu « OK, tout accepter ». S'il clique sur « Personnaliser », il pourra autoriser, ou interdire, les cookies « statistiques » d’AT Internet/Xiti, « fonctionnels » de Google, et « publicitaires » de Calameo, Dailymotion, Facebook, Instagram, Twitter et YouTube.

Depuis 2018, le site web se contentait d'afficher l'habituel (et discret) bandeau précisant qu'« En naviguant sur ce site, vous acceptez l'utilisation de cookies, ce qui nous permet de vous proposer des contenus adaptés à vos centres d'intérêt » adossé à un bouton « OK ». Les internautes ne se voyaient pas offrir la possibilité de savoir quels services envoyaient quels cookies, non plus que de les refuser ou de les paramétrer, le site se bornant à renvoyer à ses mentions légales via un lien « En savoir plus ». 

  • MinArm Cookies
  • MinArm tarteaucitron.js
  • MinArm Cookies

Or, ces mentions légales – qui n'ont pas été mises à jour depuis octobre 2019 – se contentent d'expliquer que « L’utilisateur est informé que lors de ses visites sur le site des témoins de connexions ou cookies peuvent s’installer automatiquement sur son logiciel de navigation », et que « le paramétrage du logiciel de navigation permet d’informer de la présence de cookie et éventuellement, de la refuser de la manière décrite à l’adresse suivante ».

Elles ne font pas non plus mention de l'arrêté, signé en juin 2018 et « portant désignation du délégué à la protection des données au sein du ministère des armées », ni donc de la personne à contacter.

Les conditions d'utilisation de CSE/PSE précisaient en outre à l'époque (et rappellent encore aujourd'hui) que « vous comprenez et acceptez que vous devez mettre à jour les règles de confidentialité de votre site afin qu'elles reflètent votre utilisation des Services Google et incluent un lien vers la page http://www.google.com/privacy.html », ce que le ministère n'avait pas fait. Pas plus qu'il ne le fait aujourd'hui, en violation, non seulement du RGPD, mais donc également des conditions mêmes d'utilisation de Google.

Le ministère ne loggue pas ses utilisateurs, mais Google si

Ironie de l'histoire, les mentions légales du site du ministère indiquent que « le ministère de la Défense s'interdit par principe d'employer des méthodes qui permettent d'identifier ou de bâtir des profils type de visiteur de son site Internet »... alors qu'il autorise Google à le faire. Au-delà de ses cookies, il suffit en effet de cliquer sur un des résultats fournis par son moteur de recherche pour que la consultation soit enregistrée par Google.

Plutôt que d'être renvoyé directement sur la page cible, Google redirige l'internaute, de façon suffisamment subreptice pour ne pas être détectable d'un simple coup d'œil, sur un lien de type :

https://www.google.com/url?client=internal-element-cse&cx=[identifiant du CSE/PSE]&q=[URL de la page à visiter]

Double ironie de l'histoire : un visiteur qui voudrait cliquer sur le lien émanant du moteur personnalisé utilisé par le ministère des Armées (reconnaissable à son identifiant 000099632563255980218), comme celui posté en commentaire sur le groupe Facebook de la Réserve Citoyenne de Cyberdéfense, a droit à un « Avertissement de redirection » de Google, le prévenant qu'il va être renvoyé sur le site du ministère des Armées :

Google CSE redirection

Signe que les clics sur les résultats fournis par le CSE/PSE sont loggués par Google, quand bien même les utilisateurs de defense.gouv.fr ne le voient pas, Google se gardant bien d'afficher ces avertissements lorsque les requêtes émanent du site du ministère des Armées.

La (cyber)défense utilise aussi Gmail

En janvier 2019, @x0rz, pseudonyme d'un expert en cybersécurité offensive, s'étonnait du fait que @ComcyberFR, le compte Twitter officiel du Commandement de la cyberdéfense française, n'avait pas activé la fonction « protection de la réinitialisation du mot de passe » dans ses paramètres de sécurité. Ce qui lui avait permis de découvrir qu'il utilisait Gmail (tout en soulignant que c'était également le cas d'@USCommandCyber, son pendant américain).  

Une incongruité d'autant plus cocasse que Florence Parly, qui venait de rendre publique la nouvelle politique ministérielle de lutte informatique offensive (LIO) et défensive (LID), n'avait de cesse d'en appeler à « une hygiène cyber irréprochable », de sorte de « garantir la souveraineté nationale ».

@ComcyberFR est loin d'être le seul, cela dit. En cherchant le terme « gmail.com » sur le moteur de recherche Google du site du ministère des Armées, on obtient « environ 82,300 résultats ». Entre autres utilisateurs, le bureau de la communication et de l'information du service de santé des armées, celui de l'État major des Armées, la Gouvernance de la réserve militaire ou encore la Direction de la sécurité aéronautique d'État Base aérienne 107 de Villacoublay, qui accueille l'escadron de transport 60 (ET 60) qui a notamment pour mission d'assurer le transport du Président de la République et des autorités gouvernementales :

MinArm Gmail

Un problème que l'auteur de ces lignes avait déjà identifié en 2010, quand il avait découvert des milliers d'adresses utilisant des webmails non gouvernementaux sur l’ensemble des sites en .gouv.fr, dont plus de 200 sur le site du ministère de la Défense. À l'époque, la Direction du renseignement militaire (DRM) utilisait ainsi deux adresses @yahoo.fr. Une incongruité elle aussi cocasse, à mesure qu'on peine à imaginer que la Défense Intelligence Agency, son équivalent américain, n’ait jamais eu l'idée d'utiliser une adresse email @wanadoo.com.

Contactée fin juillet, la Délégation à l’information et à la communication de la Défense (DICoD) du ministère des Armées avait dans la foulée accusé réception de nos questions, nous répondant les avoir transférées à qui de droit, tout en précisant qu'elle reviendrait vers nous « dans les meilleurs délais ». Faute de réponses, nous l'avions relancée quelques jours après, mais depuis rien, la grande muette...

Nous aurions pourtant été curieux de savoir pourquoi la « souveraineté » devrait se limiter aux seuls employés du ministère des Armées (ainsi que, depuis, à l'ensemble des fonctionnaires), mais pas aux utilisateurs de son propre site web. Retrouvez ci-dessous le verbatim du mail envoyé à la DICoD :  

De 2010 à 2014, le site defense.gouv.fr disposait d'un moteur de recherche avancée :
http://web.archive.org/web/20100801000000*/http://www.defense.gouv.fr/portail-defense/rubriques-complementaires/recherche-avancee/

. Pourquoi avait-t-il été désactivé en janvier 2015, et ne l'avoir relancé qu'en décembre 2018 ?
https://twitter.com/manhack/status/575624026220945408
http://web.archive.org/web/20181001000000*/https://www.defense.gouv.fr/portail/rubriques-complementaires/recherche-avancee

En octobre 2018, Florence Parly avait d'autre part annoncé que Qwant deviendrait le moteur de recherche par défaut sur tous les ordinateurs du ministère des Armées, parce qu'il fallait montrer l'exemple, parce qu'il ne partage pas nos données (contrairement à Google), parce qu'il s'agit, en terme de souveraineté, d'une entreprise française :
https://twitter.com/florence_parly/status/1046793857537597441
https://www.defense.gouv.fr/salle-de-presse/communiques/cp_communique-du-ministere-des-armees

. Pourquoi le site web du ministère a-t-il dès lors, en décembre 2018, basculé son moteur de recherche avancé interne sur la solution proposée par Google Custom Search Engine, et non sur une solution proposée par Qwant, ou faite maison ?
http://web.archive.org/web/20181001000000*/https://www.defense.gouv.fr/portail/rubriques-complementaires/recherche-avancee
https://www.defense.gouv.fr/portail/rubriques-complementaires/recherche-avancee

Le fait de recourir à un moteur de recherche américain ne pose-t-il pas un problème en terme de "souveraineté" et de "partage des données" ?

. Pourquoi le ministère des Armées a-t-il d'autre part attendu ce mois de juillet 2020 pour mettre à jour le formulaire de consentement et d'acceptation des cookies de Google (notamment) alors que, en vertu du RGPD, il aurait dû le faire dès 2018 ?

. Les conditions d'utilisation de Google précisent que "vous devez mettre à jour les règles de confidentialité de votre site afin qu'elles reflètent votre utilisation des Services Google et incluent un lien vers la page http://www.google.com/privacy.html". Pourquoi les mentions légales de votre site web ne le fait pas ?
https://support.google.com/programmable-search/answer/1714300?hl=fr&ref_topic=4513742

Elles précisent en outre que "Les informations personnelles collectées par Google peuvent être stockées et traitées aux États-Unis et dans tous les pays dans lesquels Google ou ses agents possèdent des locaux. En utilisant le Service, vous acceptez ce transfert d'informations à l'extérieur de votre pays".

. Suite à l’invalidation du Privacy Shield, comment envisagez-vous le fait de continuer à utiliser le moteur de Google utilisé par defense.gouv.fr, alors même que "les informations personnelles collectées par Google  peuvent être stockées et traitées aux États-Unis" ?

Si vous voulez témoigner ou me contacter de façon sécurisée (voire anonyme), le mode d'emploi se trouve par là.

Vous n'avez pas encore de notification

Page d'accueil
Options d'affichage
Abonné
Actualités
Abonné
Des thèmes sont disponibles :
Thème de baseThème de baseThème sombreThème sombreThème yinyang clairThème yinyang clairThème yinyang sombreThème yinyang sombreThème orange mécanique clairThème orange mécanique clairThème orange mécanique sombreThème orange mécanique sombreThème rose clairThème rose clairThème rose sombreThème rose sombre

Vous n'êtes pas encore INpactien ?

Inscrivez-vous !