Le chapitre VII de mon petit livre Quand Google défie le droit traitait des problèmes de vie privée posés par les services de Google, parmi lesquels Street View. Il y était aussi question des quelques faux pas commis par le géant de Mountain View, dont l’affaire du siphonnage de données sur les réseaux wi-fi par les Google cars et le fiasco de Google Buzz lequel avait rendu publiques les listes de contacts de ses utilisateurs. Depuis lors, de nouveaux incidents ont eu lieu et les interpellations par les autorités en matière de vie privée se sont multipliées. Citons parmi d’autres:
– la nouvelle “politique en matière de vie privé” (privacy policy) mise en place par Google depuis le 1er mars 2012. Cette charte vise à unifier les règles de vie privée pour tous les services de Google, qu’il s’agisse de Gmail, Picasa, Wallet, Chrome etc. La consolidation s’appliquerait à plus ou moins 60 chartes de confidentialité, auparavant distinctes. Cette révision a sans doute un côté positif, le maquis de règles diverses étant simplifié et plus facilement accessible pour les usagers. Mais également un effet négatif: les internautes qui prennent connaissance de cette nouvelle charte de confidentialité ne savent pas clairement distinguer quelles sont les finalités des collectes, quelles données sont collectées par Google (de multiples services sont couverts), de quel droit d’accès ils disposent, etc. Autrement dit, les droits notamment d’information et d’accès des personnes ‘fichées’ ne peuvent être exercés. Pour Google, l’unification des règles vise à améliorer l’expérience des usagers et à “traiter l’utilisateur comme un internaute unique à travers tous nos produits”. Mandatée par ses pairs, l’autorité française en matière de vie privée (la CNIL ou Commission Nationale de l’Informatique et des Libertés) a adressé une sérieuse mise en garde à Google par un courrier du 27 février 2012 (ici), puis un questionnaire détaillé (ici) auquel Google a partiellement répondu au début du mois d’avril (ici). Reste à voir si ces réponses tiennent compte des exigences légales et de la nécessité de protéger les usagers contre de possibles abus. Même si la protection de la vie privée est moins robuste aux Etats-Unis, la consolidation des règles de confidentialité, qui permet plus facilement à Google de croiser et combiner de multiples traces en provenance de ses services, inquiète de l’autre côté de l’Atlantique comme l’atteste l’interpellation par des députés US (voir Bono Mack, Butterfield Urge Google CEO to Explain Privacy Changes) et le courrier envoyé par les Procureurs Généraux (voir ici). Extrait de ce courrier: “On a fundamental level, the policy appears to invade consumer privacy by automatically sharing personal information consumers input into one Google product with all Google products… Consumers have diverse interests and concerns, and may want the information in their Web history to be kept separate from the information they exchange via Gmail.”. Malgré toutes ces réactions, malgré la demande adressée à Google de reporter la mise en oeuvre de cette nouvelle politique afin de clarifier les zones d’ombre et de résoudre les problèmes, Google a implémenté sa nouvelle charte le 1er mars 2012;
– le contournement par Google de la solution par défaut prévue par le navigateur Safari afin d’empêcher les annonceurs de “planter des cookies”. (Pour rappel, les “cookies” sont des petits programmes qui collectent les informations sur les pages visitées par les internautes et renvoient ces informations vers les annonceurs.) Suite à cette découverte par un étudiant de Stanford, Google, visiblement gêné, a admis cette nouvelle gaffe et a immédiatement désactivé cette fonction (voir l’article du 17 février 2012 de R. Singel sur Wired: Google Busted With Hand in Safari-Browser Cookie Jar). Reste à voir s’il y aura des suites juridiques. C’est-à-dire des sanctions. Certains ont évalué que cela pourrait coûter cher à Google (jusqu’à $100,000,000,000 d’amende!) si Google est considéré avoir violé un engagement avec la Federal Trade Commission (un “consent decree”) auquel Google avait consenti suite à la précédente gaffe de Google Buzz;
– l’opposition ferme de Google, exprimée notamment par son responsable mondial pour la vie privée, P. Fleicher (ici), à l’encontre de l’introduction d’un droit à l’oubli, comme le souhaite la Commission européenne (voir ici la proposition faite par la Commission, le 25 janvier 2012, d’un Règlement et d’une Directive). Le débat n’est pas clos, car l’introduction d’un tel droit peut poser des problèmes si de claires balises ne sont pas définies, mais Google rejette en bloc un tel droit (par ailleurs déjà reconnu par les tribunaux). Un tel droit heurte en effet le projet d’une immense mémoire numérique au coeur du système Google (voir ici un commentaire publié dans le Financial Times à propos du droit l’oubli numérique).
Que montrent ces trois exemples? Que, dans la constellation Google, l’attraction des données personnelles est une loi bien plus forte que la force de résistance offerte par le droit — les données personnelles sont en effet la poule aux oeufs d’or du modèle gratuit. Comme le disait l’expert de l’Internet, Jonathan Zittrain, “if what you are getting online is for free, you are not the customer, you are the product” (voir toutefois l’analyse de A. Furnas, It’s Not All About You: What Privacy Advocates Don’t Get About Data Tracking on the Web). Les plateformes gratuites sont intégralement subsidiées par la publicité, et une publicité efficace repose sur des informations pertinentes quant aux préférences des consommateurs. Nous sommes, en tant qu’usagers de ces services gratuits, “commodifiés”. Nous vendons des unités de vie privée en échange de ces services. Est-ce un “deal” avantageux? Payons-nous trop pour accéder au gratuit? La question est ouverte.
Pour y répondre, il faudra pouvoir évaluer le prix des données personnelles (en tenant en outre compte de l’analyse des risques liés à des fuites de ces données, notamment vers des autorités publiques). L’analyse économique a donc sa place. Les étudiants consulteront utilement l’étude récemment publiée par l’ENISA sur la monétisation de la vie privée (An economic model for pricing personal information).
Plusieurs questions donc dans ce billet:
– que penser, sur le plan juridique notamment, des récentes décisions, gaffes et sorties de Google en matière de vie privée?
– que penser du modèle du gratuit reposant sur l’extraction et l’attraction des données personnelles des usagers dans les bases de données des géants de l’Internet, dont Google (il est clair que Facebook pose des questions similaires)? Peut-on fixer un juste prix pour le gratuit?
Xavier Wauthy et moi-même vous laissons réfléchir à ces questions. Vos réponses sont attendues.