Données privées : Apple et Google passent leur grand oral

Arnaud de la Grandière |
A l'invitation d'un sous-comité du Sénat américain, Apple et Google ont envoyé leurs émissaires pour répondre aux questions que l'affaire du "location gate" a soulevées. Si le sénateur Al Franken a ouvert la séance en voulant rassurer les différents intervenants sur les intentions du sous-comité, en soulignant qu'il n'était nullement question d'empêcher Apple et Google d'exploiter la localisation, permettant ainsi des innovations pratiques et même parfois susceptibles de sauver des vies, le ton n'en a pas moins été animé à différentes reprises durant près de trois heures d'audience.



La différence entre la manière dont Apple et Google abordent ces questions s'est illustrée à l'aune des représentants qu'elles ont choisis respectivement : pour Google, Alan Davidson, un lobbyiste en charge des relations avec le gouvernement et de la politique publique, et pour Apple Guy "Bud" Tribble, un ingénieur vétéran qui a travaillé sur le premier Mac et sur NeXT, actuellement vice-président de l'ingénierie logicielle.

D'autres intervenants étaient présents : Ashkan Soltani, un consultant et chercheur indépendant, spécialiste des questions de sécurité et de vie privée, Jessica Rich de la Commission Fédérale du Commerce (FTC), Jason Weinstein du Département de la Justice, Justin Brookman, directeur du Centre pour la Démocracie et la Technologie, et Jonathan Zuck, président de l'association pour la technologie concurrentielle, ont répondu aux questions du sous-comité.

Celui-ci était constitué des sénateurs du parti démocrate Al Franken, du Minnesota, Chuck Schumer de l'état de New York, Sheldon Whitehouse de Rhode Island, Richard Blumenthal du Connecticut, et pour le parti républicain Tom Coburn de l'Oklahoma, Orin Hatch de l'Utah, et Lindsay Graham de la Caroline du Sud. Ce sous-comité dédié à la vie privée, la technologie et la loi, est lui-même une émanation de la commission paritaire attachée au système judiciaire.

Le grand absent de cette rencontre, néanmoins mentionné plus d'une fois, était Sony, dont la douloureuse mésaventure du PSN fait aujourd'hui figure de statue du commandeur, et n'a fait qu'ajouter à l'inquiétude ambiante concernant la protection des données privées.

L'outil régulateur en question

Car cet incident cristallise le caractère ultra-sensible de ces questions, et les limites de la loi : si la constitution américaine s'ingénie à cadrer scrupuleusement le terrain d'action du gouvernement, il n'en est pas de même pour les entreprises privées. Les célèbres amendements ne visent pas tant à garantir les libertés individuelles qu'à empêcher le gouvernement de les entraver. Pour des questions d'héritage historique notamment, et dans une certaine mesure à l'opposé de la culture française, le peuple américain se défie des instances dirigeantes et met toute sa confiance dans son économie, du moins dans certaines limites. C'est précisément cette frilosité à laisser les autorités s'occuper des données privées qui ont mené pour partie à l'état actuel des choses, la question étant par nature délicate à aborder pour le législateur américain.

Et c'est le premier constat dressé par la commission : si les garde-fous sont assez efficaces pour protéger le citoyen de la curiosité intrinsèquement malsaine du gouvernement, il n'en est pas de même concernant les entreprises privées. Celles-ci peuvent à loisir renseigner des bases de données sans limite sur leurs utilisateurs, et en faire ce que bon leur semble sans avoir le moindre compte à rendre ni de précautions à prendre, en dehors de leur seule bonne volonté et à la seule condition de ne pas faire de fausses promesses. Ainsi va la libre entreprise. Ironie du sort, si les entreprises sont libres de partager les données privées en leur possession avec toute autre entreprise à leur seule discrétion, la loi les empêche malgré tout de les divulguer aux instances gouvernementales. En cas de vol des données, les entreprises n'ont également nulle obligation d'en informer les autorités. Tout le travail du sous-comité consistera à mieux délimiter leurs droits et devoirs, tout en tâchant d'entraver le moins possible la marche du progrès et de l'initiative entrepreneuriale.

Quelques objectifs sont tracés, et font parfois figure de vœux pieux en l'absence de toute garantie réaliste : limiter la collecte et la détention de données au strict minimum essentiel à la bonne marche du service, informer clairement et lisiblement le consommateur des données qui sont collectées et de l'usage qui est susceptible d'en être fait, réguler le partage et les protections des données, et imposer la divulgation des violations de sécurité auprès des autorités.

Comme attendu dans ce type d'audience, chacun prêche pour sa paroisse : la FTC aimerait plus de pouvoir afin de mieux contrôler le marché en se prévalant de ses quarante ans d'expérience sur ces questions précises, et Google et Apple assurent que leurs pratiques respectives sont un exemple pour le reste de l'industrie que l'autre serait d'ailleurs bien inspirée de suivre. Apple a réitéré ses explications sur la base de données de localisation de l'iPhone (lire Consolidated.db : Apple répond aux questions).

http://static.macg.co/img/2011/4/mapsiphonetracker-20110427-231524.jpg

En pareil cas, tout est affaire de mesurer finement les compromis en présence : plutôt que d'afficher les classiques règles de confidentialité au lancement de chaque application, Apple a préféré indiquer par une icône dans la barre d'état qu'une application utilisait les fonctions de localisation de l'iPhone, sans toutefois préciser le sort d'autres types de données personnelles, par peur de surcharger l'interface. Interrogé sur ce sujet, le représentant de Google a répondu qu'Android affichait toutes les données qu'une application est susceptible de partager et que cela ne semblait pas leur poser de cas de conscience ergonomique, toutefois Apple a pu faire preuve de plus d'exigence que d'autres en ce domaine précis, et que Google n'a pas toujours fait figure d'exemple en la matière.

Ashkan Soltani s'est illustré par la pertinence de ses remarques : il souligne que plus d'une fois l'opinion publique, voire les entreprises concernées elles-mêmes, avaient appris avec surprise le traitement qui était fait des données personnelles, ce qui était particulièrement contre-productif, en prenant pour exemple l'affaire de Consolidated.db ou la collecte par erreur de données privées par la flotte de véhicules de Google Street View.

Google sur la sellette

Au sujet de cette dernière affaire, le représentant de Google s'est retrouvé sur le grill une première fois, sous le feu des questions du sénateur Blumenthal. Le représentant du Connecticut présente un brevet de Google, qui précisément décrit la manière de collecter des données personnelles par le biais des points d'accès Wi-Fi, ce qui incidemment est la méthode qui a été employée par la firme de Mountain View dans la collecte fortuite de données qui lui est reprochée. Davidson nie toute intention de la part de Google et insiste sur le caractère accidentel de cette collecte, mais Blumenthal s'interroge sur la pertinence de ce dépôt de brevet s'il décrit effectivement une méthode que Google n'avait aucune intention de mettre à profit. Les autres intervenants, pris à témoin, doutent que la valeur des informations collectées soit suffisante pour motiver Google à mal agir intentionnellement.

Après versement dudit brevet au dossier du sous-comité, le débat enchaîne sur les usages des développeurs tiers, sans pour autant que le ton soit moins incisif. Il est notamment fait opposition au crédo d'ouverture de Google, qui ne semble pas une fin en-soi pour les sénateurs : l'ouverture sans limite ne leur parait pas souhaitable. Davidson tente une analogie malheureuse pour minimiser la responsabilité de Google : on ne s'en prend pas à un transporteur pour la mauvaise qualité des marchandises transportées, mais au fabricant des marchandises en question. L'argument fait piètre impression : le sénateur Whitehouse lui rappelle que le transporteur peut tout à fait être inquiété s'il a connaissance de la nature des produits, et Google ne peut prétendre ignorer les produits qu'elle vend et distribue sur son magasin. Le message est clair : les magasins d'applications ne peuvent se prévaloir de la jurisprudence de l'hébergeur, qui garantit une immunité relative sur les contenus distribués en vertu de toute absence de sélection éditoriale. À l'inverse, ils sont soumis aux mêmes responsabilités que tout autre commerçant. De là à voir en filigrane un désaveu de l'ouverture affichée de Google, il n'y a qu'un pas.

Un aparté est fait par le sénateur Schumer sur la sélection des applications dans les magasins respectifs d'Apple et de Google, évoquant les applications qui permettent de localiser les contrôles de police portant sur l'alcoolémie des conducteurs. RIM a retiré une application de ce "cru" à la demande du sénateur, mais Google et Apple n'ont pas cru bon de le faire, alors qu'Apple s'est avérée plus prompte à retirer des applications qui ne posent pas même de problème moral et dont le seul tort était d'être d'un goût discutable. L'émissaire de Google se réfugie derrière la politique d'ouverture de la société (un terme qu'il utilise d'ailleurs à tout propos) et va même jusqu'à botter en touche lorsque le sénateur lui demande si Google autoriserait une application qui enseigne la préparation des méthamphétamines. De son côté, Apple souligne que la police elle-même publie ces données. Le sénateur s'interroge sur la périodicité de ces publications, doutant qu'elles soient publiées en temps réel comme ces applications le font. Les deux représentants indiquent que leurs sociétés respectives travaillent actuellement sur ces questions et qu'ils ne manqueront pas de signaler les préoccupations du sénateur auprès de leurs collègues. Le sénateur attend un retour d'ici un mois.



Cette audience qui donne le départ d'une prise en charge par les organismes régulateurs, jusqu'ici cantonnés aux simples recommandations, sonne la fin de la récré pour les industriels. Le ton employé est sans équivoque : l'heure est venue de rendre des comptes sur la gestion des données privées, et le législateur ne s'en laissera pas conter, quelles que soient les dénégations des parties intéressées. Cependant, ce processus sera encore long avant d'aboutir, mais la tendance se confirme dans d'autres pays, également alertés par la violation des serveurs de Sony. Les sociétés ont tout intérêt à collaborer : comme toujours en matière d'économie, la confiance est la pierre angulaire de toute transaction. Que celle-ci soit mise à mal, et tout effort pourrait être réduit à néant.

avatar Mark Twang | 
Merci pour ce compte-rendu. Mais quel serait l'impact de cette audition sur les branches hors États-Unis des firmes concernées ?
avatar Rezv@n | 
En Suisse Google va être obligée de fermer son service StreetView, n'acceptant pas de vérifier à l'avance si les visages sont bien floutés.
avatar Philactere | 
Compte rendu intéressant. Si il est vrais que les législateurs des pays européens sont en général plus attentifs que leurs collègues étasuniens sur les questions de protection de la sphère privée ils ne brillent pour autant pas par leur réactivité. On a même parfois l'impression qu'ils y vont plutôt mollement. Le problème étant, et on le voit ici, que le ton est donné par des entreprises étasuniennes qui jusqu'à présent se moquaient bien des législations européennes, ou au moins trainait bien des pieds, persuadés d'avoir un blanc seing aux Etats-unis valable pour le reste du monde. On peut espérer que suite à ces affaires, sans oublier celle de Sony la donne va évoluer coté législations et respect de celles-ci par certains (voir Google et ses affaires liées à Street View.
avatar Manueel | 
Grand guignol :-( Média, politiques... tous à suivre le scoop au lieu d'aller à la racine des questions. Apple : celui par qui le scandale arrive ? Merci! Apple :-) Même si c'est un faux procès qui t'a été intenté, Ca a au moins l'avantage de mettre la collecte des données privées sur la selette :-) Mais la géolocalisation n'est qu'un épi-phénomène. Pourquoi ne pas questionner les entreprises sur l'ensemble des collectes d'informations aussi bien sur ordi que sur portable? C'est ce qu'à fait l'état de Californie lire l'article du monde http://www.lemonde.fr/technologies/article/2011/05/09/facebook-et-google-s-opposent-a-une-proposition-de-loi-californienne-sur-la-vie-privee_1519254_651865.html et on y découvre la réponse de Google : Ne nous attaquez pas : ca vous coutera trop cher... Don't be evil ? Je préfère un modèle payant où la relation client producteur est claire au modele gratuit qui n'a rien d'amour ou d'eau fraiche mais qui est un contrat faustien dans lequel la facture est masquée jusqu'à ce qu'il soit trop tard Don't be evil?
avatar Manueel | 
Merci Arnaud pour cet excellent article Je découvre avec intérêt la responsabilité des plateformes quand à la nocivité des applications qu'elles hébergent. :-)
avatar sylko | 
@ Rezv@n En Suisse Google va être obligée de fermer son service StreetView, n'acceptant pas de vérifier à l'avance si les visages sont bien floutés. Non, Google n'est pas obligé de fermer le service. ------------------------------------------------------- Google va déposer un recours au Tribunal fédéral dans le désaccord sur le floutage sur Street View 11.05.2011 10:13 - mise à jour: 12:15 Google continue son bras de fer avec la Suisse. Le géant américain a décidé mercredi de déposer un recours auprès du Tribunal fédéral contre l'arrêt rendu début avril par le Tribunal administratif fédéral à propos de Street View. Le TAF avait estimé que Google devait "veiller à ce que tous les visages et plaques de contrôle soient rendus méconnaissables" avant la publication des images sur son logiciel Street View. Google indique que s'il devait appliquer cette directive, cela pourrait mener à la fermeture de Street View en Suisse. Or, 53% des Suisses l'ont déjà utilisé, précise le groupe américain. Actuellement, selon le préposé fédéral à la protection des données Hans-Peter Thuer, près de 98% des visages qui apparaissent sur Google Street View sont automatiquement floutés. Les autres devraient être travaillés manuellement, si le Tribunal fédéral confirme le verdict. Google estime que ce travail serait énorme et très fastidieux et affirme que toute personne qui constate que le système de floutage automatique n'a pas fonctionné peut le contacter. H-P.Thuer, qui dit avoir confiance dans la décision du Tribunal fédéral, a salué ce recours de Google, car il permettra d'éclaircir définitivement le litige. http://www.tsr.ch/info/monde/3135123-google-va-deposer-un-recours-au-tribunal-federal-dans-le-desaccord-sur-le-floutage-sur-street-view.html
avatar P'tit Suisse | 
Google provisionne 500 millions pour frais de justice et Yahoo annonce qu'elle gardera les données 18 mois au lieu de trois. http://www.itespresso.fr/conservation-donnees-cnil-tacle-moteurs-recherche-42728.html
avatar marvelous | 
Entre les differentes institutions gouvernementales de securite (NSA, CIA, FBI, etc) et l'autorite fiscale US (IRS), les etats unis sont non seulement le pays le plus flique de la planete, mais egalement celui qui contribue le plus au developpement de la parano securitaire dans notre monde. Alors leurs amendements sur la liberte me fait doucement sourire : ce n'est depuis longtemps plus qu'un exercice rethorique pour les politiques et les economiques qui aiment se gargariser en publique pour faire les 'gentils'. Il est grand temps que les gouvernements et les associations de protections des consommateurs se mettent ensembles et etablissent des directives avec application internationales concernant les methodes employees dans le e-commerce ou le e- business (essayez de desactiver facilement un compte en un clic, essayez de faire disparaitre des donnees du web, essayez de desactiver des envois de donnees a votre email en un clic, interdire le forcing, etc. y compris la protection de vos donnees hebergees). Il es grand temps egalement que Apple, Google, M$, etc cessent d'ignorer les lois qui sont en vigueurs ou tentent constemment de les contourner a leur limite en se justifiant apres coup d'un argument aussi bateau que celui evoque ci dessus : j'espere que le TF tranchera clairement pour la loi.
avatar marvelous | 
Manueel : +1
avatar grogeek | 
Le TF aura pour but de statuer définitevement ! et vu qu'on ne peut pas garantir un produit comme Street View a 100% (comme n'importe quel logiciel du reste), perso je préfère que StreetView soit désactivé chez nous. L'outil est sympa, mais si ils ne respectent pas NOS lois, qu'ils aillent:[utilisez votre expression favorite ici] !!!

CONNEXION UTILISATEUR