Google est régulièrement accusée de porter atteinte à la protection de la vie privée. Ces accusations à répétition sont-elles infondées, exagérées ou sans rapport avec la privacy ? Quels sont les raisons pour lesquelles le moteur de recherche leader pourrait représenter un véritable risque pour la protection des données à caractère personnel ?¹

Les critiques dont Google fait l’objet en matière d’atteinte à la vie privée sont récurrentes. Elles émanent aussi bien des organisations de défense des libertés, des autorités de protection des données ou de concurrents qui se découvrent pour l’occasion une âme de défenseur des données personnelles.

Dans un premier temps, pour disposer d’un tableau d’ensemble, il paraît intéressant de lister une partie des affaires de privacy dans lesquelles Google a été impliquée en prenant comme point de départ l’annonce du projet d’acquisition de la société Doubleclick en avril 2007.

· Avril 2007 : Google annonce son projet d'acquisition de Doubleclick, prestataire de solutions de tracking en ligne

· Juin 2007 : Privacy International publie un classement des plus grandes organisations du web en fonction de leurs pratiques en matière de protection des données à caractère personnel. Google est le seul à écoper de la pire des appréciations (hostile to privacy)

· Septembre 2007 : parution de la nouvelle de science-fiction « Scroogled » de Cory Doctorow

· Novembre 2007 : la société 23andMe, financée par Google, lance son service de test génétique en ligne pour les particuliers

· Mars 2008 : les Big Brothers Awards France décernent un « prix Orwell » à Google pour l'ensemble de son œuvre

· Avril 2008 : Google réagit négativement au rapport du Groupe de l'article 29 sur les moteurs de recherche

· Mai 2008 : lancement de la version bêta de Google Health qui n'est pas soumis à la loi HIPAA (The Health Insurance Portability and Accountability Act)

· Juin 2008 : des associations de consommateurs et de défense de la vie privée somment Google d'établir un lien vers sa privacy policy depuis sa page d’accueil pour être en conformité avec la loi californienne

· Juillet 2008 : la Cnil pointe les insuffisances du service Street View lancé à l'occasion du Tour de France

· Juillet 2008 : une décision de justice ordonne à Google de remettre à Viacom les adresses IP et les données collectées sur les utilisateurs de YouTube

· Août 2008 : aux Etats-Unis, dans le cadre d'un procès intenté par des particuliers à propos du service Street View, Google écrit dans un document adressé au tribunal : « Today's satellite-image technology means that even in today's desert, complete privacy does not exist. »

· Août 2008 : Le NPLC (National Legal and Policy Center) diffuse en ligne des informations personnelles anonymisées relatives à un haut dirigeant de Google (habitation, plaque d'immatriculation, trajet domicile-travail) en utilisant les services Street View et GoogleEarth

· Septembre 2008 : lancement du navigateur Chrome. Google est critiqué sur le volet protection de la vie privée notamment en raison de la première version des CGU (Conditions Générales d’Utilisation). Par ailleurs, si les paramètres par défaut du navigateur ne sont pas changés, Google pourra garder trace de ce qui est tapé dans l'Omnibox, même si la requête n'est pas validée par l'utilisateur.

· Septembre 2008. Sergey Brin, co-fondateur de Google, explique dans son blog qu'il risque d'avoir la maladie de Parkinson et vante à cette occasion l'entreprise de tests génétiques cofondée par son épouse, 23andMe.

· Septembre 2008. La Cnil relève « quelques progrès » dans l'attitude de Google mais considère que sur le fond, la société « refuse pour le moment de se soumettre à la législation européenne sur la protection des données » 


Des critiques parfois infondées, exagérées ou mal ciblées

Le flot des critiques qui se déverse sur Google oblige à faire un tri pour écarter ou atténuer certaines des accusations.

Ainsi, le prix Orwell des Big Brother Awards France a été décerné à Google en mars 2008 en partie à cause de l’assistance fournie par l’entreprise aux autorités chinoises pour censurer l’information en ligne. On peut légitimement s’en émouvoir mais ce sujet touche bien plus à la liberté d’expression qu’à la protection de la vie privée.

Ensuite, par abus de langage, il est dévenu fréquent, dans le débat public, de désigner comme un « risque Google » le risque que représentent tous les moteurs de recherche pour la vie privée. Par exemple dans le compte-rendu de l’audition d’Alex Türk, Président de la Cnil, à la commission des Lois du Sénat du 3 octobre 2007, il est fait état des risques que réprésentent « les profils Google ». Selon ce même compte-rendu, Alex Türk s’est dit « inquiet de ce que le célèbre moteur de recherche soit capable d’agréger des données éparses pour établir un profil détaillé de millions de personnes ». C’est la technologie même des moteurs de recherche qui autorise un accès facilité à des données – dont certaines à caractère personnel – enfouies dans le continent numérique du Web. Si Google venait à disparaître, le problème des profils détaillés resterait entier car l’utilisation d’autres moteurs permet d’obtenir sensiblement les mêmes informations sur les personnes. La formulation retenue est cependant révélatrice de l’hégémonie de Google dont la marque est devenue pratiquement un synonyme de moteur de recherche.

Enfin, toutes les entreprises qui évoluent vers de services autour de la génétique pour le grand public sont inquiétantes qu’elles soient ou non dirigées par l’épouse d’un dirigeant de Google. Là encore, que la société 23andMe vienne à disparaître et les risques d’exclusion liés à un usage non contrôlé d’une médecine prédictive fondée sur des tests génétiques à grande échelle demeurera. On retrouve ici la pratique habituelle chez les organisations militantes qui consiste à dénoncer une situation d’ensemble en ciblant prioritairement la marque bénéficiant de la plus forte notoriété. Google devient en quelque sorte pour la génétique grand public ce que les grands équipementiers sportifs étaient dans le domaine de la sous-traitance dans le sud-est asiatique.


Des efforts du côté de Google

De son côté Google a entrepris de réels efforts dans le domaine de la protection des données à caractère personnel. On pourra y voir soit une preuve de l’efficacité des attaques médiatiques dont Google est l’objet soit le signe du caractère excessif ou infondé de ces polémiques.

« Google reste l’un des premiers à mettre en œuvre une politique de protection des données » indique Gwendal Legrand, responsable du service de l’expertise technologique de la Cnil, dans le Figaro du 7 juillet 2007. Le contenu de cette citation et l’identité de son auteur permettent de constater que Google n’est pas un monstre Orwellien dont le projet secret serait de surveiller tous les habitants de la planète, ni une entité irresponsable totalement inconsciente de la dimension privacy associée à ses activités.

Depuis le 15 octobre 2005, Google a ainsi adhéré au Safe Harbor, démarche volontaire permettant à une société américaine de procurer aux consommateurs européens des droits équivalents à ceux dont ils disposent dans leur propre pays pour les données hébergées aux Etats-Unis.

Le service Street-View, objet de très nombreuses polémiques, a été complété par un dispositif technique de floutage des visages et des plaques d’immatriculation.

Enfin, Google a décidé de procéder à l’anonymisation adresses IP associées aux requêtes dans un premier temps, fin 2007, au bout de 18 mois. En septembre 2008, la période a été ramenée à 9 mois.


De réelles sources de préoccupation qui persistent

S’il est nécéssaire de relativiser le tableau catastrophiste dressés par certains, il n’en demeure pas moins que Google occupe bien une position particulière dans le débat sur la protection de la vie privée dans la société numérique. Quatre sujets de préoccupation semblent à prendre en considération.

Avec une métier par nature international, Google tente d’inventer un standard de protection de la vie privée adapté à une activité en ligne menée à une échelle mondiale. Ce standard en gestation est aujourd’hui moins protecteur pour le citoyen que le cadre réglementaire européen actuellement en vigueur.

Pour se défendre, Google indique fréquemment que la confiance de ses utilisateurs est le plus précieux de ses actifs et que la société ne peut pas prendre le risque de les décevoir au risque de les voir partir à la concurrence. Cette thèse n’est pas forcément valable pour un acteur hégémonique, voire monopolistique.

Depuis sa création il y a 10 ans, Google a fait preuve en permanence d’initiative et d’innovations dans pratiquement tous les domaines de l’économie numérique (messagerie, espace de stockage, outils bureautique en ligne, vidéo en ligne, cartographie, réseau social, navigateur, …). Un des rares domaines où Google n’a pas lancé des innovations décoiffantes est celui des technologies protectrices des données personnelles (ou PETs - Privacy Enhancing Technologies).

Le modèle économique de Google, sa réussite exemplaire, repose quasi-exclusivement sur le modèle publicitaire, c’est-à-dire sur la commercialisation d’audiences et/ou de profils. Par nature le métier de Google consiste à exploiter des données à caractère personnel.

En conclusion, Google tente de désamorcer les critiques, parfois infondées ou excessives, par des initiatives concrètes mais aussi en expliquant qu’elle se considère comme digne de confiance, de la même façon qu’un ministère de l’intérieur se considère toujours comme naturellement digne de confiance lorsqu’il met en œuvre un fichier de police. La solution durable passera par la mise en place par Google de dispositifs de protection des données personnelles ne nécessitant pas d’avoir à lui faire confiance.


Arnaud Belleil

Arnaud Belleil Directeur Associé de Cecurity.com, est spécialiste des questions relatives à la protection des données personnel. Co-fondateur et vice-président de l’AFCDP (Association Française des Correspondants à la protection des Données à caractère ¨Personnel), il est l’auteur de e-Privacy paru en 2001 chez Dunod. Il a récemment publié au Journal du Net un article intitulé : « IE 8 contre Google Chrome : premières impressions des avocats de la vie privée ».