A l'invitation d'un sous-comité du Sénat américain, Apple et Google ont envoyé leurs émissaires pour répondre aux questions que l'affaire du "location gate" a soulevées. Si le sénateur Al Franken a ouvert la séance en voulant rassurer les différents intervenants sur les intentions du sous-comité, en soulignant qu'il n'était nullement question d'empêcher Apple et Google d'exploiter la localisation, permettant ainsi des innovations pratiques et même parfois susceptibles de sauver des vies, le ton n'en a pas moins été animé à différentes reprises durant près de trois heures d'audience.
La différence entre la manière dont Apple et Google abordent ces questions s'est illustrée à l'aune des représentants qu'elles ont choisis respectivement : pour Google, Alan Davidson, un lobbyiste en charge des relations avec le gouvernement et de la politique publique, et pour Apple Guy "Bud" Tribble, un ingénieur vétéran qui a travaillé sur le premier Mac et sur NeXT, actuellement vice-président de l'ingénierie logicielle.
D'autres intervenants étaient présents : Ashkan Soltani, un consultant et chercheur indépendant, spécialiste des questions de sécurité et de vie privée, Jessica Rich de la Commission Fédérale du Commerce (FTC), Jason Weinstein du Département de la Justice, Justin Brookman, directeur du Centre pour la Démocracie et la Technologie, et Jonathan Zuck, président de l'association pour la technologie concurrentielle, ont répondu aux questions du sous-comité.
Celui-ci était constitué des sénateurs du parti démocrate Al Franken, du Minnesota, Chuck Schumer de l'état de New York, Sheldon Whitehouse de Rhode Island, Richard Blumenthal du Connecticut, et pour le parti républicain Tom Coburn de l'Oklahoma, Orin Hatch de l'Utah, et Lindsay Graham de la Caroline du Sud. Ce sous-comité dédié à la vie privée, la technologie et la loi, est lui-même une émanation de la commission paritaire attachée au système judiciaire.
Le grand absent de cette rencontre, néanmoins mentionné plus d'une fois, était Sony, dont la douloureuse mésaventure du PSN fait aujourd'hui figure de statue du commandeur, et n'a fait qu'ajouter à l'inquiétude ambiante concernant la protection des données privées.
L'outil régulateur en question
Car cet incident cristallise le caractère ultra-sensible de ces questions, et les limites de la loi : si la constitution américaine s'ingénie à cadrer scrupuleusement le terrain d'action du gouvernement, il n'en est pas de même pour les entreprises privées. Les célèbres amendements ne visent pas tant à garantir les libertés individuelles qu'à empêcher le gouvernement de les entraver. Pour des questions d'héritage historique notamment, et dans une certaine mesure à l'opposé de la culture française, le peuple américain se défie des instances dirigeantes et met toute sa confiance dans son économie, du moins dans certaines limites. C'est précisément cette frilosité à laisser les autorités s'occuper des données privées qui ont mené pour partie à l'état actuel des choses, la question étant par nature délicate à aborder pour le législateur américain.
Et c'est le premier constat dressé par la commission : si les garde-fous sont assez efficaces pour protéger le citoyen de la curiosité intrinsèquement malsaine du gouvernement, il n'en est pas de même concernant les entreprises privées. Celles-ci peuvent à loisir renseigner des bases de données sans limite sur leurs utilisateurs, et en faire ce que bon leur semble sans avoir le moindre compte à rendre ni de précautions à prendre, en dehors de leur seule bonne volonté et à la seule condition de ne pas faire de fausses promesses. Ainsi va la libre entreprise. Ironie du sort, si les entreprises sont libres de partager les données privées en leur possession avec toute autre entreprise à leur seule discrétion, la loi les empêche malgré tout de les divulguer aux instances gouvernementales. En cas de vol des données, les entreprises n'ont également nulle obligation d'en informer les autorités. Tout le travail du sous-comité consistera à mieux délimiter leurs droits et devoirs, tout en tâchant d'entraver le moins possible la marche du progrès et de l'initiative entrepreneuriale.
Quelques objectifs sont tracés, et font parfois figure de vœux pieux en l'absence de toute garantie réaliste : limiter la collecte et la détention de données au strict minimum essentiel à la bonne marche du service, informer clairement et lisiblement le consommateur des données qui sont collectées et de l'usage qui est susceptible d'en être fait, réguler le partage et les protections des données, et imposer la divulgation des violations de sécurité auprès des autorités.
Comme attendu dans ce type d'audience, chacun prêche pour sa paroisse : la FTC aimerait plus de pouvoir afin de mieux contrôler le marché en se prévalant de ses quarante ans d'expérience sur ces questions précises, et Google et Apple assurent que leurs pratiques respectives sont un exemple pour le reste de l'industrie que l'autre serait d'ailleurs bien inspirée de suivre. Apple a réitéré ses explications sur la base de données de localisation de l'iPhone (lire Consolidated.db : Apple répond aux questions).
En pareil cas, tout est affaire de mesurer finement les compromis en présence : plutôt que d'afficher les classiques règles de confidentialité au lancement de chaque application, Apple a préféré indiquer par une icône dans la barre d'état qu'une application utilisait les fonctions de localisation de l'iPhone, sans toutefois préciser le sort d'autres types de données personnelles, par peur de surcharger l'interface. Interrogé sur ce sujet, le représentant de Google a répondu qu'Android affichait toutes les données qu'une application est susceptible de partager et que cela ne semblait pas leur poser de cas de conscience ergonomique, toutefois Apple a pu faire preuve de plus d'exigence que d'autres en ce domaine précis, et que Google n'a pas toujours fait figure d'exemple en la matière.
Ashkan Soltani s'est illustré par la pertinence de ses remarques : il souligne que plus d'une fois l'opinion publique, voire les entreprises concernées elles-mêmes, avaient appris avec surprise le traitement qui était fait des données personnelles, ce qui était particulièrement contre-productif, en prenant pour exemple l'affaire de Consolidated.db ou la collecte par erreur de données privées par la flotte de véhicules de Google Street View.
Google sur la sellette
Au sujet de cette dernière affaire, le représentant de Google s'est retrouvé sur le grill une première fois, sous le feu des questions du sénateur Blumenthal. Le représentant du Connecticut présente un brevet de Google, qui précisément décrit la manière de collecter des données personnelles par le biais des points d'accès Wi-Fi, ce qui incidemment est la méthode qui a été employée par la firme de Mountain View dans la collecte fortuite de données qui lui est reprochée. Davidson nie toute intention de la part de Google et insiste sur le caractère accidentel de cette collecte, mais Blumenthal s'interroge sur la pertinence de ce dépôt de brevet s'il décrit effectivement une méthode que Google n'avait aucune intention de mettre à profit. Les autres intervenants, pris à témoin, doutent que la valeur des informations collectées soit suffisante pour motiver Google à mal agir intentionnellement.
Après versement dudit brevet au dossier du sous-comité, le débat enchaîne sur les usages des développeurs tiers, sans pour autant que le ton soit moins incisif. Il est notamment fait opposition au crédo d'ouverture de Google, qui ne semble pas une fin en-soi pour les sénateurs : l'ouverture sans limite ne leur parait pas souhaitable. Davidson tente une analogie malheureuse pour minimiser la responsabilité de Google : on ne s'en prend pas à un transporteur pour la mauvaise qualité des marchandises transportées, mais au fabricant des marchandises en question. L'argument fait piètre impression : le sénateur Whitehouse lui rappelle que le transporteur peut tout à fait être inquiété s'il a connaissance de la nature des produits, et Google ne peut prétendre ignorer les produits qu'elle vend et distribue sur son magasin. Le message est clair : les magasins d'applications ne peuvent se prévaloir de la jurisprudence de l'hébergeur, qui garantit une immunité relative sur les contenus distribués en vertu de toute absence de sélection éditoriale. À l'inverse, ils sont soumis aux mêmes responsabilités que tout autre commerçant. De là à voir en filigrane un désaveu de l'ouverture affichée de Google, il n'y a qu'un pas.
Un aparté est fait par le sénateur Schumer sur la sélection des applications dans les magasins respectifs d'Apple et de Google, évoquant les applications qui permettent de localiser les contrôles de police portant sur l'alcoolémie des conducteurs. RIM a retiré une application de ce "cru" à la demande du sénateur, mais Google et Apple n'ont pas cru bon de le faire, alors qu'Apple s'est avérée plus prompte à retirer des applications qui ne posent pas même de problème moral et dont le seul tort était d'être d'un goût discutable. L'émissaire de Google se réfugie derrière la politique d'ouverture de la société (un terme qu'il utilise d'ailleurs à tout propos) et va même jusqu'à botter en touche lorsque le sénateur lui demande si Google autoriserait une application qui enseigne la préparation des méthamphétamines. De son côté, Apple souligne que la police elle-même publie ces données. Le sénateur s'interroge sur la périodicité de ces publications, doutant qu'elles soient publiées en temps réel comme ces applications le font. Les deux représentants indiquent que leurs sociétés respectives travaillent actuellement sur ces questions et qu'ils ne manqueront pas de signaler les préoccupations du sénateur auprès de leurs collègues. Le sénateur attend un retour d'ici un mois.
Cette audience qui donne le départ d'une prise en charge par les organismes régulateurs, jusqu'ici cantonnés aux simples recommandations, sonne la fin de la récré pour les industriels. Le ton employé est sans équivoque : l'heure est venue de rendre des comptes sur la gestion des données privées, et le législateur ne s'en laissera pas conter, quelles que soient les dénégations des parties intéressées. Cependant, ce processus sera encore long avant d'aboutir, mais la tendance se confirme dans d'autres pays, également alertés par la violation des serveurs de Sony. Les sociétés ont tout intérêt à collaborer : comme toujours en matière d'économie, la confiance est la pierre angulaire de toute transaction. Que celle-ci soit mise à mal, et tout effort pourrait être réduit à néant.
La différence entre la manière dont Apple et Google abordent ces questions s'est illustrée à l'aune des représentants qu'elles ont choisis respectivement : pour Google, Alan Davidson, un lobbyiste en charge des relations avec le gouvernement et de la politique publique, et pour Apple Guy "Bud" Tribble, un ingénieur vétéran qui a travaillé sur le premier Mac et sur NeXT, actuellement vice-président de l'ingénierie logicielle.
D'autres intervenants étaient présents : Ashkan Soltani, un consultant et chercheur indépendant, spécialiste des questions de sécurité et de vie privée, Jessica Rich de la Commission Fédérale du Commerce (FTC), Jason Weinstein du Département de la Justice, Justin Brookman, directeur du Centre pour la Démocracie et la Technologie, et Jonathan Zuck, président de l'association pour la technologie concurrentielle, ont répondu aux questions du sous-comité.
Celui-ci était constitué des sénateurs du parti démocrate Al Franken, du Minnesota, Chuck Schumer de l'état de New York, Sheldon Whitehouse de Rhode Island, Richard Blumenthal du Connecticut, et pour le parti républicain Tom Coburn de l'Oklahoma, Orin Hatch de l'Utah, et Lindsay Graham de la Caroline du Sud. Ce sous-comité dédié à la vie privée, la technologie et la loi, est lui-même une émanation de la commission paritaire attachée au système judiciaire.
Le grand absent de cette rencontre, néanmoins mentionné plus d'une fois, était Sony, dont la douloureuse mésaventure du PSN fait aujourd'hui figure de statue du commandeur, et n'a fait qu'ajouter à l'inquiétude ambiante concernant la protection des données privées.
L'outil régulateur en question
Car cet incident cristallise le caractère ultra-sensible de ces questions, et les limites de la loi : si la constitution américaine s'ingénie à cadrer scrupuleusement le terrain d'action du gouvernement, il n'en est pas de même pour les entreprises privées. Les célèbres amendements ne visent pas tant à garantir les libertés individuelles qu'à empêcher le gouvernement de les entraver. Pour des questions d'héritage historique notamment, et dans une certaine mesure à l'opposé de la culture française, le peuple américain se défie des instances dirigeantes et met toute sa confiance dans son économie, du moins dans certaines limites. C'est précisément cette frilosité à laisser les autorités s'occuper des données privées qui ont mené pour partie à l'état actuel des choses, la question étant par nature délicate à aborder pour le législateur américain.
Et c'est le premier constat dressé par la commission : si les garde-fous sont assez efficaces pour protéger le citoyen de la curiosité intrinsèquement malsaine du gouvernement, il n'en est pas de même concernant les entreprises privées. Celles-ci peuvent à loisir renseigner des bases de données sans limite sur leurs utilisateurs, et en faire ce que bon leur semble sans avoir le moindre compte à rendre ni de précautions à prendre, en dehors de leur seule bonne volonté et à la seule condition de ne pas faire de fausses promesses. Ainsi va la libre entreprise. Ironie du sort, si les entreprises sont libres de partager les données privées en leur possession avec toute autre entreprise à leur seule discrétion, la loi les empêche malgré tout de les divulguer aux instances gouvernementales. En cas de vol des données, les entreprises n'ont également nulle obligation d'en informer les autorités. Tout le travail du sous-comité consistera à mieux délimiter leurs droits et devoirs, tout en tâchant d'entraver le moins possible la marche du progrès et de l'initiative entrepreneuriale.
Quelques objectifs sont tracés, et font parfois figure de vœux pieux en l'absence de toute garantie réaliste : limiter la collecte et la détention de données au strict minimum essentiel à la bonne marche du service, informer clairement et lisiblement le consommateur des données qui sont collectées et de l'usage qui est susceptible d'en être fait, réguler le partage et les protections des données, et imposer la divulgation des violations de sécurité auprès des autorités.
Comme attendu dans ce type d'audience, chacun prêche pour sa paroisse : la FTC aimerait plus de pouvoir afin de mieux contrôler le marché en se prévalant de ses quarante ans d'expérience sur ces questions précises, et Google et Apple assurent que leurs pratiques respectives sont un exemple pour le reste de l'industrie que l'autre serait d'ailleurs bien inspirée de suivre. Apple a réitéré ses explications sur la base de données de localisation de l'iPhone (lire Consolidated.db : Apple répond aux questions).
En pareil cas, tout est affaire de mesurer finement les compromis en présence : plutôt que d'afficher les classiques règles de confidentialité au lancement de chaque application, Apple a préféré indiquer par une icône dans la barre d'état qu'une application utilisait les fonctions de localisation de l'iPhone, sans toutefois préciser le sort d'autres types de données personnelles, par peur de surcharger l'interface. Interrogé sur ce sujet, le représentant de Google a répondu qu'Android affichait toutes les données qu'une application est susceptible de partager et que cela ne semblait pas leur poser de cas de conscience ergonomique, toutefois Apple a pu faire preuve de plus d'exigence que d'autres en ce domaine précis, et que Google n'a pas toujours fait figure d'exemple en la matière.
Ashkan Soltani s'est illustré par la pertinence de ses remarques : il souligne que plus d'une fois l'opinion publique, voire les entreprises concernées elles-mêmes, avaient appris avec surprise le traitement qui était fait des données personnelles, ce qui était particulièrement contre-productif, en prenant pour exemple l'affaire de Consolidated.db ou la collecte par erreur de données privées par la flotte de véhicules de Google Street View.
Google sur la sellette
Au sujet de cette dernière affaire, le représentant de Google s'est retrouvé sur le grill une première fois, sous le feu des questions du sénateur Blumenthal. Le représentant du Connecticut présente un brevet de Google, qui précisément décrit la manière de collecter des données personnelles par le biais des points d'accès Wi-Fi, ce qui incidemment est la méthode qui a été employée par la firme de Mountain View dans la collecte fortuite de données qui lui est reprochée. Davidson nie toute intention de la part de Google et insiste sur le caractère accidentel de cette collecte, mais Blumenthal s'interroge sur la pertinence de ce dépôt de brevet s'il décrit effectivement une méthode que Google n'avait aucune intention de mettre à profit. Les autres intervenants, pris à témoin, doutent que la valeur des informations collectées soit suffisante pour motiver Google à mal agir intentionnellement.
Après versement dudit brevet au dossier du sous-comité, le débat enchaîne sur les usages des développeurs tiers, sans pour autant que le ton soit moins incisif. Il est notamment fait opposition au crédo d'ouverture de Google, qui ne semble pas une fin en-soi pour les sénateurs : l'ouverture sans limite ne leur parait pas souhaitable. Davidson tente une analogie malheureuse pour minimiser la responsabilité de Google : on ne s'en prend pas à un transporteur pour la mauvaise qualité des marchandises transportées, mais au fabricant des marchandises en question. L'argument fait piètre impression : le sénateur Whitehouse lui rappelle que le transporteur peut tout à fait être inquiété s'il a connaissance de la nature des produits, et Google ne peut prétendre ignorer les produits qu'elle vend et distribue sur son magasin. Le message est clair : les magasins d'applications ne peuvent se prévaloir de la jurisprudence de l'hébergeur, qui garantit une immunité relative sur les contenus distribués en vertu de toute absence de sélection éditoriale. À l'inverse, ils sont soumis aux mêmes responsabilités que tout autre commerçant. De là à voir en filigrane un désaveu de l'ouverture affichée de Google, il n'y a qu'un pas.
Un aparté est fait par le sénateur Schumer sur la sélection des applications dans les magasins respectifs d'Apple et de Google, évoquant les applications qui permettent de localiser les contrôles de police portant sur l'alcoolémie des conducteurs. RIM a retiré une application de ce "cru" à la demande du sénateur, mais Google et Apple n'ont pas cru bon de le faire, alors qu'Apple s'est avérée plus prompte à retirer des applications qui ne posent pas même de problème moral et dont le seul tort était d'être d'un goût discutable. L'émissaire de Google se réfugie derrière la politique d'ouverture de la société (un terme qu'il utilise d'ailleurs à tout propos) et va même jusqu'à botter en touche lorsque le sénateur lui demande si Google autoriserait une application qui enseigne la préparation des méthamphétamines. De son côté, Apple souligne que la police elle-même publie ces données. Le sénateur s'interroge sur la périodicité de ces publications, doutant qu'elles soient publiées en temps réel comme ces applications le font. Les deux représentants indiquent que leurs sociétés respectives travaillent actuellement sur ces questions et qu'ils ne manqueront pas de signaler les préoccupations du sénateur auprès de leurs collègues. Le sénateur attend un retour d'ici un mois.
Cette audience qui donne le départ d'une prise en charge par les organismes régulateurs, jusqu'ici cantonnés aux simples recommandations, sonne la fin de la récré pour les industriels. Le ton employé est sans équivoque : l'heure est venue de rendre des comptes sur la gestion des données privées, et le législateur ne s'en laissera pas conter, quelles que soient les dénégations des parties intéressées. Cependant, ce processus sera encore long avant d'aboutir, mais la tendance se confirme dans d'autres pays, également alertés par la violation des serveurs de Sony. Les sociétés ont tout intérêt à collaborer : comme toujours en matière d'économie, la confiance est la pierre angulaire de toute transaction. Que celle-ci soit mise à mal, et tout effort pourrait être réduit à néant.
