Article mis en ligne le 29 janvier 2008

***

Le projet d’acquisition de DoubleClick par Google, pour un montant supérieur à 3 milliards de dollars, suscite de nombreuses craintes de la part des défenseurs de la vie privée. Une fois bouclée, l’opération conduirait à une accumulation sans précédent de données à caractère personnel au sein d’un même groupe.

Les opposants au projet pointent en outre les dégâts qui résulteraient du couplage potentiel entre deux types d’information : ce que Google sait sur les recherches effectuées par les internautes, d’une part et ce que Doubleclick sait sur le comportement des internautes par rapport aux bannières publicitaires, d’autre part.

Par ailleurs, comme le souligne Marc Rotenberg, Directeur d’EPIC (Electronic Privacy Information Center), organisation américaine de défense de la vie privée, ce n’est pas tant les projets de Google qui sont inquiétants que l’absence d’information sur ces projets. Selon lui, Google n’expose pas aujourd’hui ce qu’elle envisage de faire avec la société absorbée, ni la façon dont elle compte rentabiliser son acquisition.

 La concurrence au secours de la vie privée

Dans ce contexte, les argumentaires détaillés qui proviennent à Neelie Kroes, la commissaire européenne chargée de la concurrence, insistent sur le fait que l’absence de concurrence dans le secteur des moteurs de recherche et de la publicité sur Internet n’est pas uniquement une question de hausse des tarifs ou de réduction du choix. Selon l’analyse partagée par le BEUC (Bureau Européens des Unions de Consommateurs) et par Privacy International, ONG britannique de défense de la vie privée, dans le régime de concurrence qui subsiste encore aujourd’hui, la protection de la vie privée est devenue un facteur de différenciation entre les acteurs de ce marchés.

Depuis quelques mois, l’ensemble du secteur des moteurs de recherche (Google, Yahoo, Microsoft, Ask) est engagé dans une véritable « course à la privacy ». La protection des données à caractère personnel est devenue un moyen pour attaquer le numéro un du secteur qui est contraint de répondre, voire de contre-attaquer sur ce domaine. Les organisations hostiles à la fusion Google/DoubleClick développent auprès de la Commission européenne l’argument selon lequel Google, une fois l’acquisition réalisée, ne sera plus incitée à poursuivre ses efforts en matière de protection de la vie privée car la société bénéficiera alors d’un quasi-monopole.

 Google n’est pas un monstre Orwellien !

« Google reste l’un des premiers à mettre en œuvre une politique de protection des données » indique Gwendal Legrand, responsable du service de l’expertise technologique de la Cnil, dans le Figaro du 7 juillet 2007. Le contenu de cette citation et l’identité de son auteur permettent de constater que Google n’est pas un monstre Orwellien dont le projet secret serait de surveiller tous les habitants de la planète, ni une entité irresponsable totalement inconsciente de la dimension privacy associée à ses activités.

Depuis le 15 octobre 2005, Google a ainsi adhéré au SafeHarbor, démarche volontaire permettant à une société américaine de procurer aux consommateurs européens des droits équivalents à ceux dont ils disposent dans leur propre pays pour les données hébergées aux Etats-Unis. De plus, Google a pris des intiatives fortes dans les derniers mois de 2007 comme l’engagement d’anonymisation des logs de connexion au bout de 18 mois.

Pour en rester à une dimension nationale, le simple exercice du droit prévu par l’article 31 de la loi informatique et libertés selon lequel la Cnil met à la disposition du public la liste des traitements automatisés ayant fait l’objet d’une formalité permet de vérifier que la filiale française de Google procède aux obligations déclaratives auprès de l’autorité de protection des données.

 Une triple particularité problématique

Ces gestes de bonnes volonté et ces comportement citoyens de la part de Google. n’entraînent pas pour autant l’adhésion des défenseurs de la vie privée, bien au contraire. Quand le PDG de Google, Eric Schmidt, prend position en faveur d’une réglementation mondiale pour la protection des données, les sceptiques soulignent que le cadre réglementaire qu’il envisage est bien moins protecteur pour le citoyen que celui actuellement en vigueur en Europe.

Il est vraisemblable que Google restera durablement interpellé sur les questions de protection des données en raison d’une triple particularité : sa domination dans le secteur des moteurs de recherche, l’étendue de ses nouvelles activités dans le domaine de l’Internet et la nature de son modèle économique.

La position archi-dominante de Google dans le domaine de la recherche transparait jusque dans le langage. Par exemple dans le compte-rendu de l’audition d’Alex Türk, Président de la Cnil, à la commission des Lois du Sénat du 3 octobre 2007, il est fait état des risques que réprésentent « les profils Google ». Selon ce même compte-rendu, Alex Türk s’est dit « inquiet de ce que le célèbre moteur de recherche soit capable d’agréger des données éparses pour établir un profil détaillé de millions de personnes ». Le risque est bien réel mais il ne s’agit pas d’un « risque Google » mais bien d’un « risque moteurs de recherche ». Si Google venait à disparaître, le problème des profils détaillés resterait entier car l’utilisation d’autres moteurs (MSN ou Ask par exemple) permet d’obtenir sensiblement les mêmes informations sur les personnes. La formulation retenue est cependant révélatrice de l’hégémonie de Google dont la marque est devenue le synonyme du moteur de recherche par excellence.

Le deuxième élément qui soulève des inquiétudes provient du développement de Google dans tous les domaines du web : messagerie, espace de stockage, outils bureautique en ligne, vidéo en ligne, cartographie, réseau social et bientôt, avec l’acquisition de DoubleClick, outils de gestion des campagnes publicitaires. Les critiques pourront pointer que l’un des rares domaines où Google n’a pas lancé des innovations décoiffantes et celui des technologies protectrices des données personnelles (ou PETs – Privacy Enhancing Technologies).

Enfin, la plupart des services de Google destinés au grand public possèdent la particularité de reposer sur le modèle économique de la gratuité, ce qui nécessite la commercialisation d’audiences et/ou de profils. Soulignons que ce n’est pas la cas de l’offre entreprise.

 De nouvelles critiques se font jour

En élargissant ses domaines d’activité, Google s’attire dans le même temps des critiques et attaques dans des domaines qui dépassent celui des moteurs de recherche ou de la publicité en ligne.

Sur des forums des internautes se plaignent de l’impossibilité (ou au minimum de la très grande difficulté) dans laquelle ils se trouvent pour désactiver la Google Toolbar . Même en retenant l’idée qu’il y a une part de mauvaise foi, c’est une accusation qui est habituellement adressée aux spywares (espiogiciels) et non aux entreprises respectables de la Toile.

Le très impressionnant service « Street View » de Google Maps a été pour sa part considéré comme portant atteinte au droit à l’image par Jennifer Stoddart, le Commissaire Canadien à la vie privée. Les passants des grandes villes américaines peuvent se retrouver photographiés dans la rue à leur insu avec une grande précision et les photos sont ensuite diffusées sur le service en ligne. Il est possible de demander après coup à Google le floutage de la photo mais le mal peut-être déjà fait.

Enfin, le service de dossier médical en ligne Google Health dont le lancement devrait intervenir au cours de l’année 2008 suscitera inévitablement des interrogations voire de vives critiques compte tenu du caractère particulièrement sensible des données de santé. (Rappelons que Microsoft travaille sur un projet de même nature).

 Quelles solutions ?

Face à ce qu’il faut bien considérer comme le problème privacy de Google, les organisations de défenses de la vie privée (et les concurrents de Goggle) préconisent l’opposition aux grandes croissances externes via les mécanismes du droit de la concurrence. Google table sur l’autorégulation, l’éducation des utilisateurs et l’émergence d’une réglementation internationale seule à même d’encadrer une activité par nature internationale.

Un autre moyen d‘action envisageable résiderait dans une pression accrue des utilisateurs pour que Google intègre des dispositifs plus performants en matière de protection de la vie privée. Faut-il aller plus loin en incitant au boycott des services de Google ou en « éduquant » le public pour qu’il accepte le principe du paiement des services en ligne ? Ce n’est certainement pas l’approche la plus crédible.

Plus radical encore, Gerrt Lovink, activiste néerlandais du Net prône la « nationalisation » ou la « socialisation » de la firme de Mountain View. C’est pour l’instant de l’ordre de la provocation ou de la boutade. Pour l’instant.

Arnaud Belleil

En savoir plus :

• Audition d’Alex Türk, Président de la Cnil, le 3 octobre 2007, devant la commission des lois du Sénat : http://www.senat.fr/presse/cp20071003a.html