L’internaute face à Google, gibier d’une chasse aux données personnelles ?

par | Avr 23, 2019 | Digital, Marketing

L’histoire de Google prend racine à Stanford, dans la tête de deux comparses universitaires nommés Sergueï Brin et Larry Page. Doctorants très impliqués dans leurs recherches, ils s’intéressent de près à la structure de référencement des travaux scientifiques, basée sur le nombre de sources qui les mentionnent. S’inspirant de divers travaux, ils parviennent alors à mettre au point un algorithme, initialement appelé PageRank. Il sera implémenté sur le premier prototype de moteur de recherche alors baptisé BackRub. Un moteur de recherche étant tout simplement défini par Google comme un “logiciel qui permet de rechercher des informations sur Internet”. Mis en ligne sur le site de leur université, ce dernier classait les résultats grâce à la combinaison de deux facteurs : le nombre de liens externes renvoyant vers la page en question, et les occurrences d’un mot donné. Un an plus tard, le nom de domaine Google.com est déposé, en référence au nombre “googleplex”, c’est à dire le nombre 1 suivi d’une infinité de zéros. De quoi présager de la quantité des données des futurs milliards d’utilisateurs qui transiteront quotidiennement.

Loin du simple moteur de recherche créé par deux étudiants, Google est aujourd’hui la 3ème plus grande entreprise cotée en bourse, sous le nom de “Alphabet”, sa maison-mère. Géant indétrônable du Web et membre originel des GAFA, c’est par la richesse de son index et la pertinence de ses résultats qu’il est aujourd’hui le moteur de recherche le plus populaire. En effet, en décembre 2018 et selon statcounter, Google détient 92.21% des parts de marché des moteurs de recherche [1]. Leader dans la plupart des pays, à l’exception des territoires pratiquant des restrictions géographiques telles que la Chine, le moteur se vante d’enregistrer 3.3 milliards de requêtes par jour, dont 15% sont inédites.

Cependant, à l’instar des autres membres des GAFA, Google est aujourd’hui pointé du doigt dans le cadre de la protection des données personnelles. Ces “informations identifiant directement ou indirectement une personne physique” telles que les définit la CNIL, sont au cœur des dernières polémiques qui ont émergées sur le web [2]. La régulation de la collecte et la potentielle vente de nos noms, prénoms, photos, mais aussi localisations, adresses IP, données biométriques ou encore habitudes d’achat semblent intéresser de plus en plus les internautes. Dans l’espoir sans doute, de retrouver un semblant d’anonymat et donc de naviguer en toute confidentialité sur le web.

Ainsi, à travers cet article, nous répondrons à la problématique suivante : Dans quelle mesure la collecte des données personnelles par Google a-t-elle un impact sur le comportement des internautes, et quels moyens de protection ces derniers ont-ils à leur disposition afin de conserver une certaine confidentialité ?
Dans l’objectif d’apporter une réponse à cette problématique, nous verrons dans un premier temps la manière dont Google traque les internautes et l’utilisation de leurs données, avant de voir les solutions et moyens qu’ont les utilisateurs pour se protéger. Enfin, nous soulignerons l’ambiguïté intrinsèque du comportement du cybernaute, qui malgré ses opinions majoritairement réfractaires quant à la collecte de données, ne développe pas une habitude de navigation vertueuse.

1) Google, un ogre dévoreur de données

Sur la page “Règles de confidentialité et conditions d’utilisation”, Google annonce pour le 22 janvier 2019, une mise à jour de ses règles de confidentialité pour, entre autres, les pays membres de l’union européenne [3]. Cela signifie que le document présentant les informations collectées va changer. Mais finalement, que collecte Google exactement et quel usage en fait-il ?

1.1) Données récoltées et utilisation

Plus qu’un simple moteur de recherche, Google possède aujourd’hui nombre de services. Ainsi, il ne s’approvisionne pas uniquement en données via les recherches des utilisateurs, mais aussi par Android (dont il est le moteur de recherche par défaut), Google Chrome, les plateformes de publicités telles que Ads et Adsense, YouTube, Maps , le Playstore et enfin Gmail. Si nous nous fions à la politique de confidentialité de Google, l’entreprise collecte :

  • Les données que nous créons lors de la création de compte “afin de recevoir des notifications relatives” à leurs services, mais aussi les mails, commentaires YouTube, vidéos, photos , documents , créés via les services de Google.
  • Les applications installées, navigateurs utilisés et appareils sur lesquels nous nous connectons afin de rendre les services de Google plus utiles.
  • Notre position géographique, afin de nous mener à destination plus rapidement et nous proposer des fonctionnalités.
  • Notre activité, afin de personnaliser notre expérience et nous proposer du contenu en fonction de nos centres d’intérêts. [4]

Google sous-entend donc sur cette fameuse page de confidentialité que la collecte des données est dans l’intérêt de l’utilisateur : proposition de services, analyse de performances, communication avec l’internaute, ou encore amélioration et développement de nouveaux services. Dans la théorie, il serait ainsi tentant de se dire que tout ce que fait Google a pour objectif d’améliorer l’expérience utilisateur. A titre d’exemple, la fonctionnalité “smart reply” implémentée en 2017 sur la boîte de réception Gmail semble abonder en ce sens. En effet, grâce à son algorithme, Google permet à un destinataire de répondre plus rapidement à ses mails, en lui proposant trois suggestions de réponses rapides et intelligentes. Basé sur du machine learning, cet algorithme dispose d’un répertoire de phrases et expressions pré-faites et mettra en avant celles qu’il juge adaptées au contexte du mail. Cette fonctionnalité apparaît de prime abord comme un gain de temps conséquent pour ceux qui échangent quotidiennement par mail. Par ailleurs, cela semble convaincre nombre d’internautes puisque 10% des réponses de correspondances ont été envoyées grâce au “smart reply”.

Cependant, il ne faut pas oublier que le modèle économique du moteur de recherche repose sur la data. Puisque comme le dit si bien Laurent Gayard dans son livre “Darknet, Gafa, Bitcoin”, “si internet est gratuit, c’est que c’est vous le produit” [5]. Avec ces données, Google dresse ainsi différents profils consommateurs, qui serviront aux annonceurs pour diffuser leur publicité ciblée. Au premier trimestre de 2018, 85.05% des revenus de Google dépendaient de la publicité [6]. Par conséquent, pour reprendre notre exemple, autoriser à une de ces IA la consultation des mails, de l’agenda ou encore de la géolocalisation peut s’avérer problématique pour nos données personnelles. D’autant plus que le géant américain est gourmand, dès lors qu’il s’agit de collecter des informations sur ses utilisateurs. Tristan Gaudiaut a notamment révélé en août 2018 sur le site statista qu’un smartphone Android envoyait en moyenne 40 informations par heure à Google en mode veille, et près de 90 en utilisation standard. Contre seulement 17.9 informations par heure envoyées depuis un iPhone à Apple, en utilisation normale [7].

1.2) Des scandales de plus en plus problématiques

De nombreuses thèses ont longtemps soutenu que le danger lié à la collecte des données via ses services ne venait pas de Google directement, mais plutôt des potentielles attaques auxquelles les données sauvegardées seraient vulnérables. Les risques venant le plus souvent de l’usage d’une technologie plutôt que de la technologie en elle-même. Cependant, après plusieurs scandales et révélations, la sincérité de Google est mise à mal. Alors qu’on pensait que la firme n’avait pas réellement de mauvaises intentions, nous serions-nous trompés ?

Revenons en 2014, au moment du scandale lié aux Google glass. A cette époque, la firme propose des lunettes connectées, capables de reconnaître les personnes croisées par l’usager, grâce à un système de reconnaissance faciale. Comme le décrit Christine Kerdellant via son livre “Dans la Google du loup” (p.51), les citoyens se sentaient “espionnés” et les altercations couplées aux affrontements autant sur les réseaux sociaux que dans des lieux publics ont entraîné leur retrait de la commercialisation [8]. Cependant, si cet outil n’aura pas pu être développé pleinement, la firme a trouvé bien d’autres moyens pour collecter les informations de ses utilisateurs, même en contournant les autorisations de ses utilisateurs. En effet, une enquête d’Associated Press a démontré en août 2018 que la désactivation des historiques de position n’empêchait tout simplement pas Google d’enregistrer les trajets des usagers [9]. La procédure à mener, était en réalité plus complexe, et suggérait que l’internaute devait lui-même se renseigner pour pouvoir empêcher la firme de le suivre à la trace. Enfin, le 9 avril 2018, une plainte collective est déposée à l’encontre de YouTube, service appartenant à Google, accusé de récolter les données personnelles des utilisateurs en dessous de l’âge légal sans le consentement de leurs parents, et ce à des fins publicitaires. La tribune révèle dans son article “YouTube visé par une plainte pour ciblage publicitaire sur enfants“ que la plateforme collecterait des ”informations personnelles de mineurs comme leur géolocalisation, l’appareil utilisé pour se connecter ou encore des numéros de téléphone portable” [10].

1.3) La fin de la vie privée avec Google?

Christine Kerdellant explique via son livre “Dans la Google du loup” (p.65), que le concept de vie privée est finalement relativement récent [11]. En effet, avant le XXème siècle, la recherche d’intimité, notamment vis-à-vis de la famille était alors très mal vue. C’est d’ailleurs sur cet axe qu’attaquait Vinton Cerf, le porte-parole de Google, en soutenant en 2013 que “la vie privée peut être considérée comme une anomalie”. Car comme le rappelle Christine Kerdellant (p.66) dans son livre, si les citoyens ne se rebellent pas pour défendre ce droit fraîchement acquis, alors “la vie privée n’aura effectivement été qu’une parenthèse” [12].

2) Le RGPD : protection de l’utilisateur à l’échelle européenne

Le “règlement général sur la protection des données”, plus communément appelé RGPD est un règlement européen qui encadre le traitement des données personnelles par des organisation privées ou publiques. En plus de s’inscrire dans la continuité de la loi française Informatique et libertés de 1978, le RGPD permet une harmonisation du cadre juridique entre les états membres de l’Union Européenne. Selon la CNIL, ce règlement encadre le développement des activités numériques, en se “fondant sur la confiance des utilisateurs” [13]. Mais concrètement, dans quelle mesure le RGPD offre-t-il aux internautes le contrôle de leurs données, et quelle autorité a-t-il pour sanctionner les organisations qui ne se mettent pas en conformité avec la loi ?

2.1) Ce que permet le RGPD pour l’internaute

Dans cet article, nous allons nous concentrer sur la signification du RGPD pour l’internaute, et non pour les entreprises, ce qui sera en partie le sujet de notre second article. Cependant, les bons réflexes préconisés par la CNIL sont un excellent point de départ [14].

Dans un premier temps, le règlement doit permettre à l’internaute de renforcer sa sécurité et celle de ses informations. Toute mesure de sécurité devra être adaptée en fonction de la sensibilité de la donnée récoltée, et des risques pour l’utilisateur qu’une fuite pourrait engendrer. Cela peut notamment être le chiffrement des données sensibles, l’obligation d’une double authentification ou encore la déconnexion forcée d’un compte à la suite d’un piratage. Par ailleurs, afin de compléter la loi Informatiques et libertés de 1978, le RGPD doit désormais autoriser l’internaute à faire valoir son droit à l’oubli, mais aussi de rectification ou de consultation. En somme, l’utilisateur doit pouvoir demander à toute entité qui possède ses données, de pouvoir les consulter, les modifier ou encore les supprimer. Selon l’article 17 du RGPD, rentrent dans le cadre du droit à l’effacement les données qui [15] :

  • Ont été collectées mais dont la conservation n’est plus justifiée
  • Ne font plus l’objet du consentement pour traitement de la part de l’internaute
  • Ont fait l’objet d’un traitement illicite
  • Doivent être effacées pour respecter une obligation légale prévue par le droit de l’union européenne ou de l’état membre
  • Rentrent en contradiction avec les autres articles du RGPD.

De plus, l’article 20 du RGPD instaure le droit à la portabilité des données [16]. Cela signifie que, lorsque cela est techniquement possible, l’utilisateur doit pouvoir demander à ce que ses données fournies à un responsable de traitement, soient transférées à un autre responsable de traitement, sans que le premier y fasse opposition. De surcroît, l’internaute a le droit à la transparence de l’information, y compris sur le traitement de ses données. Cela peut-être les coordonnées du responsable du traitement, les intérêts légitimes du responsable de l’information ou encore la durée de conservation de ses données, tel que le précise l’article 13 [17]. Toujours dans cette idée de transparence, l’internaute doit pouvoir être informé de toute faille de sécurité ou fuite des données dont il a potentiellement été victime. Enfin, et le dernier n’est pas des moindres, l’internaute doit explicitement donner son consentement. Que ce soit sous le format de case à cocher ou de paramètres à activer/désactiver, comme pour les cookies.

Au final, même si le RPGD apporte une protection à différents niveaux, l’utilisateur doit de son côté ne pas relâcher la vigilance lorsqu’il navigue sur internet et qu’il utilise, entre autres, Google.

2.2) Les sanctions en cas de non-respect du règlement

Afin de faire appliquer ses règles, la commission européenne, via le RGPD, donne à la CNIL le pouvoir d’effectuer des contrôles, y compris auprès des prestataires sous-traitants. Ces contrôles peuvent rentrer dans le cadre de contrôle annuel, de signalements, ou encore d’initiatives ponctuelles en lien avec l’actualité. Le site de la CNIL recense les différentes sanctions qui existent, par hiérarchie [18]:

  • Le rappel à l’ordre
  • La mise en conformité de traitement de la donnée
  • La suspension ou annulation du traitement ou des flux de données
  • L’obligation d’accéder aux requêtes des utilisateurs
  • Les amendes

En France, la première sanction est tombée deux semaines après la mise en vigueur du règlement. C’est Optical Center qui a inauguré ainsi la nouvelle loi en matière de protection des données. Épinglée pour une une fuite de données qui s’est produite en 2017, à cause d’une faille de sécurité, l’entreprise a ainsi dû payer 250 000 euros [19]. En ce qui concerne Google, des plaintes ont été déposées en octobre et novembre 2018, concernant la récolte des informations de géolocalisation dont nous avons parlé précédemment. En janvier 2019, une sanction record a été adressée à Google, d’une valeur de 50 millions d’euros. La raison ? Un manque de transparence et d’information de Google pour ses utilisateurs, ainsi que des demandes de consentement encore trop ponctuelles.

2.3) Les limites du règlement

Pour comprendre les limites du RGPD, nous nous sommes adressée à Zakaria Gatra, ingénieur étude et développement, lead développeur et data analyst, et fondateur de SciGeeks. Selon M. Gatra, le règlement va indéniablement dans le bon sens. Il ajoute, nous citons que “Le règlement est une première mondiale ! Il ne peut que s’améliorer et apprendre et changer de ses faiblesses pour peu et pour autant que l’UE ait vraiment une volonté de régenter la chose”. Cependant, même s’il est encore trop tôt pour dire si certains points sont obsolètes, la marge de manœuvre laissée aux Etats peut s’avérer problématique. Comme par exemple la “possibilité de changer la date de consentement d’un pays à l’autre” ou encore la non-normalisation des règles de consentement explicites ou implicites.

Une autre zone d’ombre, soulevée par M. Gatra, concerne les empreintes navigateurs, c’est à dire les “informations collectées sur un dispositif informatique distant à des fins d’identification”, comme le définit Wikipédia. Ces empreintes récoltent des informations techniques, et ne sont ainsi pas considérées comme des données personnelles aux yeux de la CNIL ou du RGPD. Or, cet identifiant, bien que propre à l’ordinateur est unique, et permet bel et bien, au bout du compte, d’identifier l’utilisateur.

Une autre question se pose également : le RGPD qui était censé limiter le contrôle et le monopole des données n’aurait-il ainsi pas créé l’effet inverse? C’est en tout cas ce que démontre l’étude “Google is the biggest beneficiary of the GDPR”, menée par Cliqz et Ghostery en octobre 2018. [20] Cliqz, “Le navigateur sans compromis“ et Ghostery, une extension navigateur chargée de détecter et bloquer les mouchards, se sont alliés afin de dresser un premier bilan sur le RGPD. En utilisant les données de whotracks.me, ils ont pu établir que le grand gagnant du RGPD n’était autre que Google. Mais alors, comment est-ce possible ?

Il faut savoir que, toujours selon l’étude, les programmes tiers possédés par Google sont présents dans 80% du trafic web mesuré, contre seulement 28% pour Facebook ou encore 17% pour Amazon [21].

Illustration 1 : Présence des programmes tiers des GAFAMAs sur le trafic web

Figure 1 – Clémence Girard , 2018 – Données issues de whotracksme

Par ailleurs, ils sont utilisés 50% du temps dans un objectif de tracking. En d’autres termes Google est l’entreprise qui par le biais de divers scripts présents sur les sites internet visités par les internautes, collecte le plus d’informations sur ces derniers. Selon whotracks.me, un “traqueur” est identifié comme tel lorsqu’il est présent sur au moins 10 sites différents avec un trafic conséquent, et qu’il utilise des cookies ou techniques comme le fingerprinting, permettant de reconnaître et identifier les internautes lors de leur navigation [22]. Mais savoir que Google est aujourd’hui l’entreprise qui collecte le plus de données n’est pas une grande nouvelle.

En revanche, là où le bât blesse, c’est dans l’utilisation principale de ces données. Comme nous l’avons expliqué dans notre partie sur la collecte des données et leurs utilisations par Google, ces dernières servent essentiellement pour la publicité ciblée et personnalisée. Les services de tracking se chargent alors dans ce contexte de récolter des données relatives au comportements ou à des fins de retargeting.  Or, au plus les entreprises peuvent collecter des informations sur les internautes, au plus la publicité sera susceptible d’intéresser les internautes, et au plus elles génèreront de l’argent. Ainsi, après la mise en vigueur du RGPD, les plus petits acteurs de la publicité en ligne, soit les plus petits traqueurs ont perdu entre 18 et 31% de leur portée sur les sites internet [23]. Plus impressionnant encore, seul Google a pu maintenir et légèrement augmenter ses parts de marché en tant que fournisseur d’espace publicitaire depuis avril, mois d’instauration du RGPD. Toujours selon Clikz, les raisons sont diverses :

  • Les ressources dont dispose Google pour se plier à la mise en conformité
  • La possibilité de prendre des risques et de payer des pénalités sans mettre à mal l’entreprise
  • Un abus de sa position dominante pour éliminer les concurrents.

En conclusion le RGPD a tout simplement renforcé le monopole du géant du Web. Alors qu’au moment de son instauration, de nombreux articles prédisaient sa mort inévitable.

3) Naviguer en toute confidentialité : utopie ou réalité ?

Finalement, naviguer en confidentialité aujourd’hui revient à se demander comment court-circuiter le schéma classique qui transite par Google lors de nos recherches sur internet. Ou en d’autres termes, “rendre big brother obsolète” comme le présente Laurent Gayard dans son livre “Darknet, Gafa, Bitcoin” paru en 2017 [24].  Outre la solution classique du routage en Oignon, Tor, qui permet d’accéder à des réseaux internet superposés appelés Darknets, de nombreuses solutions sont aujourd’hui accessibles aux cybernautes.

3.1) Les moteurs de recherche alternatifs

Quoi de mieux comme solution alternative que de proposer un moteur de recherche qui, sur le papier, respecte les données de ses utilisateurs ? Car quand on sait que, comme le rappelle Mme Kerdellant dans son ouvrage “dans la Google du loup” (p.39), ce sont “vos recherches (les recherches des internautes ndlr.) sur le moteur Google qui vous trahissent le plus”, la perspective d’une navigation respectueuse de la vie privée est alléchante [25]. C’est en tout cas l’axe de communication et de développement que prennent certaines de ces applications web.

a) Duck Duck go et la promesse d’un index qui respecte la vie privée

Depuis le 26 juin 2018, soit un mois après l’entrée en vigueur du RGPD, il est possible de voir dans le fil d’actualité Twitter un tweet sponsorisé du méta-moteur de recherche DuckDuckGo, prônant son business model “data-free”. En opposition au business model “data-driven” de son principal concurrent, le monstrueux index Google. Le tweet, une fois traduit, annonce que l’équipe de DuckDuckgo est “ fière d’avoir un business model rentable, qui ne repose pas sur la collecte des données personnelles”.

Illustration 2 : Tweet épinglé de DuckDuckGo ventant leur modèle « data-free »

Figure 2 – Capture d’écran d’un tweet épinglé de DuckDuckGo datant de juin 2018

Même discours sur la page “politique de confidentialité”, présente sur le site de DuckDuckgo [26]. Cette dernière, écrite directement de la plume de Gabriel Weinberg, CEO et fondateur du moteur de recherche alternatif, indique que “DuckDuckGo ne collecte ou ne partage aucune donnée personnelle”. Dans la théorie, DuckDuckGo se charge d’effectuer les requêtes des internautes auprès des moteurs de recherches, tels que Google, de trier les résultats, supprimer les doublons, et proposer des résultats qui lui semblent pertinents.

Cependant, “le moteur de recherche qui ne vous espionne pas” est hébergé par des services qui nous espionnent trop : Amazon Web service. Or, comme l’explique parfaitement Frédéric Mouffle dans un entretien sur le site web Atlantico, si DuckDuckGo ne stocke pas les données personnelles sur ses serveurs, le moteur a automatiquement recours à des fichiers logs, indispensables pour son bon fonctionnement et la résolution des potentiels problèmes techniques [27]. Ainsi certaines données des utilisateurs sont indéniablement conservées, comme par exemple les adresses IP. De plus, être hébergé aux États-Unis indique être en conformité avec le Patriot Act, et donc l’obligation pour tout détenteur d’information capitale d’ouvrir ses archives à la justice lorsque cette dernière en fait la demande. Frédéric Mouffle rappelle cependant qu’il sera “toujours plus sécurisant de se connecter sur DuckDuckGo que sur Google”.

b) Qwant, l’alternative Made in France

Alors que nos données sont exclusivement détenues par des firmes américaines, la technologie française n’est pas en reste en ce qui concerne la protection de nos données personnelles. Qwant, “le moteur de recherche qui respecte votre vie privée” tel que nous pouvons le lire sur leur page d’accueil, aurait enregistré en 2016, 2.6 milliards de requêtes [28]. Basée en France, l’entreprise entend veiller sur la vie privée de ses utilisateurs, en n’utilisant aucun cookie ou autre dispositif de traçage, qui lui permettrait de dresser des profils uniques. Sur sa page de confidentialité, l’équipe Qwant insiste bien ne pas chercher à traquer les actions de ses utilisateurs.

Cependant, le moteur de recherche propose à ses utilisateurs de créer un compte, et par conséquent mentionner les noms, prénoms, et adresse-mail. Toutes ces données de connexion seront utilisées dans le cadre des obligations légales, de la gestion des comptes ou encore pour la sécurité. Contrairement à DuckDuckGo, Qwant possède ses propres serveurs, où il stocke ses données. Ce qui rend finalement l’utilisateur vulnérable, en cas de cyberattaque et de vol des données.

3.2) L’émergence d’entreprises et de solutions tierces

A l’instar des moteurs de recherche que nous avons présentés dans la première partie, de nombreuses start-up voient le jour, promettant la solution à tous nos problèmes. En matière de données, bien évidemment. Dans ce contexte nous avons décidé d’aborder deux solutions : “Privowny”, la suite d’outils pour la protection des données et “Datacoup”, la marketplace de la data.

Privowny se présente ainsi comme une suite d’outils, comprenant un gestionnaire de traqueurs, un tableau de bord, un gestionnaire de données, un gestionnaire d’alias pour les mails et enfin un gestionnaire de mot de passe. Ces derniers fonctionnent à la fois sur les navigateurs ou sur mobile. En créant un compte, les utilisateurs auront alors accès à une extension navigateur qui leur permettra d’avoir accès à tous ces outils. La plateforme se vante de posséder un site web “safe by design” , où les données de ses utilisateurs sont “sécurisées et protégées grâce à des techniques modernes de chiffrement”, que Privowny ne peut déchiffrer [29]. L’émergence d’une telle solution n’aurait pas pu être envisagée plusieurs années en arrière. Cependant, avec les préoccupations d’aujourd’hui, une entreprise telle que celle-ci semble avoir de beaux jours devant elle. A condition bien sûr, que les données qu’elle collecte pour le bon déroulement de ses services ne soient pas revendues.

Pour ce qui est de Datacoup, entreprise créée par Matt Hogan, le fonctionnement va encore plus loin. En effet, la plateforme se présente comme une marketplace de la data, permettant aux utilisateurs inscrits de commercialiser leurs propres données online ou offline. Chaque information que l’utilisateur renseigne dans son profil se voit attribuer une valeur, en fonction du cours et de la demande actuelle de la data en question. A l’heure actuelle, seule la plateforme rachète les informations de ses utilisateurs, dans le but de créer une base de données et d’attirer les marques. Un premier pas vers la récupération du contrôle des informations personnelles par les utilisateurs et la monétisation de ce qu’ils “produisent”. L’étape suivante étant que ces dernières ne soient plus commercialisées par d’autres fournisseurs.

Mais sans parler d’applications, ou de services dédiés, des technologies existantes ne pourraient-elles pas, comme la blockchain, participer elles aussi à la protection de nos données ?

3.3) La blockchain, opportunité ou incompatibilité avec le RGPD ?

Selon le site internet blockchainfrance.net, la blockchain est “une technologie de stockage et de transmission d’informations, transparente, sécurisée, et fonctionnant sans organe central de contrôle” [30]. Il est important d’en comprendre les fondamentaux avant d’aller plus loin sur son utilisation potentielle pour la protection des données. Il faut s’imaginer un grand livre comptable, que chacun remplit de manière anonyme, et où l’information, une fois validée par les autres membres est inscrite dans une ligne et devient alors infalsifiable. La blockchain peut être privée, c’est à dire réservé à un certain nombre d’acteurs, ou publique et ouverte à tous.

Illustration 3 : Schéma simplifié de la blockchain

Figure 3 – Schéma de la Blockchain, inspiré de Blockchain France – Clémence Girard , janvier 2018

Outre ses applications dans les monnaies virtuelles telles que le bitcoin, elle peut être utilisée dans divers domaines, y compris par les cybernautes lambda, recherchant un internet moins invasif et intrusif.

Lors d’un échange avec Sylvain Naillat, avocat au sein du cabinet Nomos dans le département Propriété intellectuelle, médias et nouvelles technologies, mené en décembre 2018, nous avons pu revenir en détail sur l’utilisation de la blockchain dans le cadre de la protection des données personnelles. Pour M. Naillat, cette technologie rentre en “contradiction conceptuelle” avec le RGPD. En effet, il précise que ce dernier “a été conçu pour les modèles de traitement de données centralisés”. Ce qui implique plusieurs éléments à première vue incompatibles avec la technologie blockchain. Tout d’abord, dans un système centralisé, une seule entité est à l’initiative du traitement de la donnée. Le RGPD prévoit ainsi que cette entité maîtrise la donnée qu’elle collecte, et qu’elle peut mettre fin au traitement de cette donnée à tout moment. Or, sur les blockchains publiques, il n’est pas possible d’attribuer un responsable au traitement des données. De surcroît, cette donnée est inscrite dans un bloc et est par essence même inviolable, ne pouvant donc ni être altérée, ni être supprimée. Par conséquent, le droit à l’oubli ou encore la traçabilité, pourtant encadrés par le RGPD ne peuvent pas être respectés tel que la loi l’entend.

Cependant, même si Sylvain Naillat n’est pas certain “qu’elle (la technologie blockchain ndlr.) puisse évoluer pour se conformer au RGPD”, il n’est surtout pas convaincu qu’elle doive le faire. Car en effet, le RPGD d’aujourd’hui ne précise pas s’il s’applique également aux modèles décentralisés du traitement de la donnée. En outre, les opportunités présentées par une telle technologie sont à prendre en considération. Le principal argument que nous avons évoqué dans son incompatibilité conceptuelle avec le RGPD, est également son principal argument pour une meilleure protection des données. En effet, le traitement de ces dernières ne sont pas aux mains d’une seule entité qui possède tous les pouvoirs, mais par un grand nombre de participants rendant impossible un quelconque détournement de la chaîne de bloc. D’un point de vue sécurité, cela rend quasiment inefficace toute tentative de cyber-attaque et de vol des données.

La blockchain serait-elle la solution à tous nos problèmes ? Selon Laurent Gaillard, dans son livre Darknet, Gafa, Bitcoin (p.267) la technologie servirait à “permettre aux utilisateurs de services sur internet de reprendre le contrôle de leur données personnelles, voire d’être en mesure de les monnayer” [31]. En effet, notre enquête réalisée sur le mois de décembre et diffusée via nos réseaux sociaux a démontré que plus d’un quart des internautes serait prêt à vendre ses données. La vie personnelle d’un européen serait ainsi estimée à 600 euros selon le Boston consulting group [32]. En revanche, pour Sylvain Naillat, la blockchain ne serait pas plus un outil de protection des données en tant que tel qu’un risque significatif pour cette même protection des données. Elle peut d’une part être utilisée avec de bonnes comme de mauvaises intentions et elle demeure d’autre part très obscure pour le grand public. Cette technologie ne serait donc pas, à elle seule, une solution accessible à tous les internautes.

4) Le rôle de l’utilisateur : entre victime et acteur

“Dire que défendre votre vie privée ne vous intéresse pas parce que vous n’avez rien à cacher revient à dire que vous êtes indifférent à la liberté d’expression parce que vous n’avez rien à dire”. C’est ainsi qu’Edward Snowden, le lanceur d’alerte le plus connu de cette décennie, décrivait le comportement passif des citoyens après les nombreux scandales et révélations impliquant des atteintes à leur vie privée. Alors, les internautes ont-ils eux aussi quelque chose à se reprocher ?

4.1 Une volonté de protéger leurs informations

Comme nous l’avons évoqué dans notre introduction, la naissance de réglementations plus sévères et encadrantes ainsi que la création de solutions nouvelles font suite à une demande accrue de la part des citoyens de protéger leur vie privée.

Pour comprendre au mieux les attentes des internautes, nous avons diffusé sur le mois de décembre 2018 un questionnaire intitulé “Les données personnelles et l’internaute” [33]. L’objectif était de comprendre et mettre en lumière les opinions de ces derniers quant à l’utilisation de leurs données personnelles. Les répondants, majoritairement issus de la génération Y, c’est-à-dire nés entre les années 1980 et 2000, estiment à 74% que l’absence de confidentialité sur le web est un problème majeur. Plus de la moitié d’entre eux ne souhaitent pas être tracés, ou voir leurs données vendues. Et 36% des répondants ne sont pas forcément contre la collecte des données personnelles, mais s’opposent en revanche à la vente de ces dernières.

4.2 Des comportements paradoxaux

Mais pour autant, les scandales et la transparence de l’information ont-ils engendré des changements radicaux dans nos habitudes sur internet ? Pour répondre à cette question, prenons en considération les deux exemples suivants : Le scandale Cambridge Analytica lié à Facebook, et la mise en conformité du RGPD avec les mailings de désinscription. Le scandale Cambridge Analytica étant lié à l’implication de la société Cambridge Analytica dans l’utilisation des données de 87 millions d’utilisateurs Facebook pour influencer les élections présidentielles des Etats-Unis les résultats du vote du Brexit.

Pour en revenir à notre questionnaire, nous avons demandé aux internautes s’ils étaient ou non des utilisateurs réguliers de Facebook. Pour 75% pour d’entre eux, la réponse était positive. Quant à la question “Le scandale Cambridge Analytica a-t-il modifié votre manière d’utiliser Facebook ?” 74% ont déclaré ne pas avoir changé leur manière d’utiliser Facebook, et 29% disent même ne pas se sentir concernés par le scandale. En ce qui concerne les mailings de mise en conformité au RGPD, 54% affirment avoir reçu de nombreux e-mails de la part des sites auxquels ils étaient abonnés. En revanche, seulement 12% se sont désabonnés de manière conséquente. Ce qui est compréhensible, puisque, malgré une volonté de se protéger contre la collecte des données personnelles, le RGPD laisse indifférent 59% des participants au questionnaire. La faute peut-être à une mauvaise compréhension des enjeux, ou alors à un désintérêt profond qui contraste avec les déclarations initiales.

De surcroît, 64% des participants se qualifient d’internautes prudents. Or, ils utilisent à 50% Google Chrome, le navigateur web qui appartient à Google. Un seul des répondants a mentionné l’utilisation d’un navigateur respectueux des données, Brave, qui a cependant le défaut de fonctionner sur base Chromium, appartenant encore une fois à Google. Par ailleurs, le moteur de recherche Google est utilisé régulièrement par 80% des répondants, contre seulement 4% pour Qwant et 5% pour DuckDuckgo que nous avons présenté précédemment. En outre, 77% des réponses indiquaient le recours aux services d’Amazon, pour de l’achat ou de la recherche produit ; Amazon faisant aujourd’hui partie des plus gros consommateurs de données personnelles. Enfin, à la question “Lisez-vous régulièrement et en détail les politiques de confidentialité des sites, logiciels ou applications que vous utilisez” 64% des répondants ont déclaré accepter les conditions d’utilisations des services qu’ils utilisent, sans prendre le temps de les lire.

Cependant, certains internautes réellement plus prudents ou peut-être plus informés déclarent utiliser quotidiennement des solutions dans l’objectif d’être anonyme sur internet. Néanmoins, 65% des réponses démontrent que ces solutions ne sont pas utilisées sur tous leurs appareils (téléphone, tablettes, TV, PC) et pour 79.8% des réponses ces solutions ne sont de toute manière pas utilisées par tous les membres du foyer. Ce qui rend finalement pratiquement inutile les efforts menés.

4.3 Une responsabilité partagée

Les utilisateurs ne sont pas tous inconscients pour autant. Si certains pensent, à tort, que la navigation privée de leur ordinateur leur permet de faire leur recherche de manière confidentielle, 71% des internautes qui ont répondu savent que l’anonymat est aujourd’hui difficile d’atteinte. C’est peut-être justement cet élan pessimiste qui conduit à la résignation et à la passivité des internautes quant à la protection de leurs informations.

Le monopole de Google, et l’utilisation abusive des données collectées est finalement une faute partagée. Car en effet, lorsque pour notre confort, nos habitudes, nous continuons d’utiliser des services qui ne respectent pas nos données personnelles, nous sommes finalement complices du crime qui se joue autour de nous. Par nos utilisations de la messagerie Gmail, du moteur de recherche Google, des services de YouTube ou de Maps, nous alimentons quotidiennement ce contre quoi nous manifestons pourtant. Cela engendre d’une part le non-développement de solutions complémentaires ou de substitution, et d’autre part des pratiques abusives et exclusives, donnant une très forte autorité à une entité précise. C’est ainsi qu’en référencement naturel, les efforts des experts se concentrent sur Google exclusivement, puisque le trafic des sites internet vient majoritairement de ses résultats de recherches.

Malgré les abus indéniables qui ont été perpétrés par la firme, l’internaute fait sciemment le choix de ne pas changer ses habitudes. D’autant plus que, comme nous l’avons démontré dans cet article, ce ne sont pas tant les solutions qui manquent. Entre la législation qui fait des avancées majeures, des moteurs de recherches qui se développent et œuvrent contre l’hégémonie googlesque ou encore les applications et services tierce permettant un contrôle des données envoyées, l’utilisateur a le pouvoir d’enrayer progressivement la machine. Mais en a-t-il seulement l’envie ?

5) Conclusion

Au terme de cet article, nous avons pu comprendre l’impact de la collecte des données personnelles sur les internautes. Google, géant du Web et membre des GAFA en est aujourd’hui le plus grand traqueur. Via les différents services qu’il propose, et essentiellement la recherche, il draine les informations des internautes pour dresser des profils de consommateurs, qu’il vendra aux annonceurs désireux de se lancer dans de la publicité ciblée. La firme est souvent accusée et à raison par des collectifs, organismes ou associations, désireux de mettre en lumière ses abus quotidiens. Produit de l’internet gratuit, l’internaute peut cependant en partie compter sur les instances de régulations à l’échelle nationale ou européenne, qui tendent de plus en plus à lui offrir un cadre juridique protégeant sa navigation sur le web. Le but étant de lui redonner le pouvoir de consulter, effacer et disposer de ses données comme il l’entend.

Nous avons pu aussi étudier les solutions tierces qui existent, et qui offrent aux cybernautes la possibilité de retrouver un semblant de confidentialité pendant sa navigation. Vérifications des données envoyées, moteurs de recherche alternatifs, technique blockchain, tous les moyens sont bons afin d’emprunter des circuits non conventionnels, ne transitant pas par Google. Ces solutions, généralement gratuites, présentent de nombreux avantages et leur accessibilité théorique devrait permettre leur utilisation par le plus grand nombre.

Pour finir, nous avons mis en exergue le comportement paradoxal des internautes. Ces derniers, malgré les prises de conscience récentes et les nombreuses solutions dont ils disposent ne tendent pas à adopter des comportements de navigation vertueux. Loin d’être uniquement les victimes d’un jeu dont ils ne comprennent pas les règles, les internautes participent activement au monopole de Google. Alors, quel sera l’avenir de la collecte et de la vente de nos données personnelles ? Allons-nous continuer de subir et nous soumettre en contrepartie d’un internet gratuit et de son inépuisable source d’informations ? Ou allons-nous décider de reprendre entièrement la main sur nos données, jusqu’à en faire notre propre source de revenus, dans la transparence la plus totale ?

Dans le prochain article, nous aborderons l’impact de la collecte des données personnelles sur les politiques d’e-marketing et adopterons ainsi un regard plus économique que sociétal.

Bibliographie

[1] Statcounter, (décembre 2018) Search Engine Market Share Worldwide. Consulté sur http://gs.statcounter.com/search-engine-market-share le 8 décembre 2018.

[2] CNIL, (2018). Donnée personnelle. Consulté sur https://www.cnil.fr/fr/definition/donnee-personnelle le 9 décembre 2018.

[3] Google, (2018). Règles de confidentialité et conditions d’utilisation. Consulté sur https://policies.google.com/?hl=fr le 5 janvier 2019.

[4] Google, (2018). Règles de confidentialité. Consulté sur https://policies.google.com/privacy?hl=fr le 5 janvier 2019.

[5] Laurent Gayard, (2018). Darknet Gafa Bitcoin l’anonymat est un choix. Paris, France : Slatkine & Cie. 4ème de couverture.

[6] Olivier Duffez (2 mai 2018). WebRankInfo. Tous les résultats financiers de Google détaillés (avril 2018). Consulté sur https://www.webrankinfo.com/dossiers/google/resultats-financiers le 8 décembre 2018.

[7] Statista (27 août 2018). Google collecte plus de données personnelles qu’Apple. Consulté sur https://fr.statista.com/infographie/15217/google-apple-collecte-de-donnees-personnelles/ le 15 décembre 2018.

[8] Christine Kerdellant. (2017). Dans la Google du loup. Pairs, France : Plon. p.51.

[9] Associated Press (août 2018). AP Exclusive : Google tracks your mouvements, like it or not. Consulté sur https://apnews.com/f60bc112665b458cb6473d7ee9492932 le 29 décembre 2018.

[10] La Tribune (09/04/2018). YouTube visé par une plainte pour ciblage publicitaire sur enfants. Consulté sur https://www.latribune.fr/technos-medias/youtube-vise-par-une-plainte-pour-ciblage-publicitaire-sur-enfants-774671.html le 3 janvier 2018.

[11] Christine Kerdellant. (2017). Dans la Google du loup. Paris, France : Plon. p.65.

[12] Christine Kerdellant. (2017). Dans la Google du loup. Paris, France : Plon. p.66.

[13] CNIL, (2018). RGPD : de quoi parle-t-on. Consulté sur https://www.cnil.fr/fr/rgpd-de-quoi-parle-t-on le 15 décembre 2018.

[14] CNIL, (2018). Les Bons réflexes de la protection des données personnelles. Consulté sur https://www.cnil.fr/fr/protection-des-donnees-les-bons-reflexes le 15 décembre 2018.

[15] CNIL, (2018). Article 17 – Droit à l’effacement. Consulté sur https://www.cnil.fr/fr/reglement-europeen-protection-donnees/chapitre3#Article17 le 15 décembre 2018.

[16] CNIL, (2018). Article 20 – Droit à la portabilité des données. Consulté sur https://www.cnil.fr/fr/reglement-europeen-protection-donnees/chapitre3#Article20 le 15 décembre 2018.

[17] CNIL, (2018). Article 13 – Informations à fournir lorsque des données à caractère personnel sont collectées auprès de la personne concernée. Consulté sur https://www.cnil.fr/fr/reglement-europeen-protection-donnees/chapitre3#Article13 le 15 décembre 2018.

[18] CNIL, (2018. La procédure de sanction. Consulté ttps://www.cnil.fr/fr/la-procedure-de-sanction le 15 décembre 2018.

[19] Eléonore Lefaix (16 juin 2018). Sanction RGPD : premier dégât à 250 000€ pour Optical Center. Consulté sur https://www.clubic.com/rgpd/actualite-844065-sanction-rgpd-premier-degat-250-000-optical-center.html le 16 décembre 2018.

[20] Cliqz (10/10/2018). Study : Google is the biggest beneficiary of the GDPR. Consulté sur https://cliqz.com/en/magazine/study-google-is-the-biggest-beneficiary-of-the-gdpr  le 3 janvier 2019.

[21] WhoTracksme (2018). Company tracking reach. Consulté sur https://whotracks.me/companies/reach-chart.html le 3 janvier 2019.

[22] WhoTracksme (2018). What is a tracker. Consulté sur https://whotracks.me/blog/what_is_a_tracker.html le 3 janvier 2019.

[23] Même source que [21]

[24] Laurent Gayard, (2018). Darknet Gafa Bitcoin l’anonymat est un choix. Paris, France : Slatkine & Cie. Partie IV, rendre big brother obsolète.

[25]  Christine Kerdellant. (2017). Dans la Google du loup. Paris, France : Plon. p.39.

[26] DuckDuckGo, (2012). Politique de confidentialité. Consulté sur https://duckduckgo.com/privacy le 4 novembre 2018.

[27] Atlantico (19 février 2018). Faut-il croire les moteurs de recherche qui vous garantissent, comme DuckDuckGo, le respect de votre vie privée ?. Consulté sur https://web.archive.org/web/20180504000936/http://www.atlantico.fr/decryptage/faut-croire-moteurs-recherche-qui-garantissent-comme-duckduckgo-respect-votre-vie-privee-3311416.html#acSEHQC2ZhhehBcj.99 le 4 novembre 2018.

[28] Qwant (2018). Page d’accueil. Consulté sur https://about.qwant.com/fr/ le 4 novembre 2018.

[29] Privowny (2018). Page d’accueil. Consulté sur https://beta.privowny.com/fr/ le 4 novembre 2018.

[30] Blockchain France. Qu’est-ce que la blockchain. Consulté sur https://blockchainfrance.net/decouvrir-la-blockchain/c-est-quoi-la-blockchain/ le 4 novembre 2018.

[31] Laurent Gayard, (2018). Darknet Gafa Bitcoin l’anonymat est un choix. Paris, France : Slatkine & Cie. p.267

[32] Laurent Gayard, (2018). Darknet Gafa Bitcoin l’anonymat est un choix. Paris, France : Slatkine & Cie. p.266

[33] Clémence Girard (2018). Les données personnelles et l’internaute. 100 réponses entre le 10 décembre 2018 et le 6 janvier 2019. Consultable sur https://goo.gl/forms/FpxD3LdjzD7GEboz2.

Table des illustrations

Titre Illustration 1 : Présence des programmes tiers des GAFAMAs sur le trafic web
Fichier Images

 

Titre Illustration 2 : Tweet épinglé de DuckDuckGo ventant leur modèle « data-free »
Fichier Capture d’écran

 

Titre Illustration 3 : Schéma simplifié de la blockchain
Fichier Images