Puisque notre université entend nous imposer l’utilisation des outils fournis gratuitement par Google, c’est le moment de prendre des informations sur une firme que la communication de la présidence nous présente comme une entreprise fiable capable de fournir des services parfaitement sécurisés, sans risque pour nos données. Puisque après tout il s’agit de confier à ce partenaire nos données professionnelles et privées, autant se renseigner.
Condamnation pour « abus de position dominante »
Et ça commence mal… Tout juste un mois après la migration de toutes nos données vers les serveurs de Google, voilà que la firme américaine est à nouveau sous les feux de l’actualité en raison de sa condamnation par la Commission européenne pour « abus de position dominante ». La presse a largement relayé cette information et le montant astronomique de l’amende : 4,34 milliards d’euros. Ce qui est plus intéressant pour nous, c’est de regarder de près la motivation de cette décision de la Commission. Google est en effet accusé d’avoir obligé les fabricants de smartphones et de tablettes Android à pré-installer ses applications sur leurs appareils, avec les incitations habituelles : la carotte (tarifs préférentiels) et le bâton (refus d’accorder des licences). Cela en dit long sur la volonté hégémonique de la firme. Plus encore, on lit dans le communiqué de presse que Google pratique la technique du cheval de Troie : Android est un système ouvert, que tout le monde peut adapter et installer librement et gratuitement sous licence… mais les services associés, comme Google Play, Google Search ou Chrome, eux, doivent donner lieu à un contrat. Ainsi, tous les constructeurs sont tentés d’utiliser Android parce que, contrairement au système d’Apple, ils n’auront pas à payer les licences, mais se retrouvent contraints à installer conjointement des applications qui rapportent de l’argent à Google. Beaucoup d’argent. La Commission estime que « Google dégage des milliards de dollars de revenus annuels grâce à son seul Google Play Store, collecte de nombreuses données utiles pour son activité de recherche et de publicité grâce aux appareils Android et aurait tiré un flux important de revenus de la publicité contextuelle même sans les restrictions. » Le montant de l’amende ne représente donc qu’une infime fraction des revenus générés par ce mécanisme.
Quand une firme qui a de telles pratiques prétend gérer gratuitement les données de l’université, de ses personnels et de ses étudiants, ne devrait-on pas y regarder à deux fois ? Surtout quand le contrat est secret…
Confidentialité ?
On nous vante également la protection des données assurées par Google. Là encore, les faits invitent à plus de prudence. Et dans deux domaines : la confidentialité des données des utilisateurs à l’égard de Google et la confidentialité à l’égard de tiers.
Nos données ? Une mine d’or
Google n’en fait pas mystère : il gagne de l’argent en vendant des profilages aux annonceurs. Sur les 24,7 milliards de dollars de chiffre d’affaire du premier trimestre 2017, 86 % provenaient de ressources publicitaires (Les Échos). Plus précisément : » il s’agit de revenus publicitaires, essentiellement tirés des services propres à Google (le moteur de recherche, YouTube, Gmail…), mais aussi des sites tiers qui utilisent ses régies publicitaires (AdSense, DoubleClick…). » (Les Echos). Quand un même opérateur peut disposer du contenu de vos correspondances, de vos recherches sur le Web, de l’historique de vos consultations, mais aussi de vos trajets (y compris par géolocalisation de votre téléphone), de votre agenda, de la liste de vos relations, de vos vidéos et de vos photos, de vos fichiers partagés, de vos communications, etc. il est à même de déterminer de manière très précise vos centres d’intérêt, vos revenus, vos habitudes de consommation. Bref, toutes ces données dont les services de marketing et de publicité sont si friands.
Si vous voulez avoir une idée de tout ce que Google a accumulé comme données sur vous, allez sur cette page : https://takeout.google.com/settings/takeout?pli=1 Vous pouvez y télécharger toutes vos données personnelles. Voici comment Google présente la chose sur son site :
« Les informations que nous collectons servent à améliorer les services proposés à tous nos utilisateurs. Il peut s’agir d’informations de base, telles que la langue que vous utilisez, ou plus complexes, comme les annonces que vous trouvez les plus utiles, les personnes qui vous intéressent le plus sur le Web ou les vidéos YouTube qui sont susceptibles de vous plaire. Les informations que nous collectons et l’usage que nous en faisons dépendent de la manière dont vous utilisez nos services et dont vous gérez vos paramètres de confidentialité.
Lorsque vous n’êtes pas connecté à un compte Google, nous stockons les informations collectées en les associant à des identifiants uniques liés au navigateur, à l’application ou à l’appareil que vous utilisez. Cela nous permet, par exemple, de conserver vos préférences linguistiques pour toutes vos sessions de navigation.
Lorsque vous êtes connecté à votre compte, nous stockons les informations collectées en les associant à votre compte Google et les considérons comme des informations personnelles. »
Ils ne font donc aucun mystère de ce prélèvement d’informations (même s’ils euphémisent leur objectif : c’est pour vous proposer les meilleures vidéos YouTube que Google collecte vos informations personnelles !) Tout le monde en a fait l’expérience : il suffit d’échanger quelques mails ou de consulter quelques sites sur une destination touristique ou un nouveau modèle de téléphone pour voir arriver les publicités correspondantes sur le moteur de recherche, YouTube ou même votre compte Gmail.
Évidemment, on nous assure que ce n’est pas le cas avec « G suite for Education » (le nom du produit utilisé par Paris 3). Il est cependant impossible de connaître les termes du contrat, puisque celui-ci est confidentiel… Il faut donc chercher un peu pour en savoir davantage. On trouve sur une page officielle de Google quelques indications utiles et même un contrat-type. Le principe général est le suivant : « Les informations personnelles des utilisateurs collectées dans le cadre des Services principaux sont utilisées uniquement pour fournir ces services. Google n’y diffuse pas d’annonces et n’utilise pas à des fins publicitaires les informations personnelles qui y sont recueillies. » (Avis de confidentialité) Voilà qui est assez rassurant. Mais la lecture complète de ces documents laisse quand même planer quelques doutes :
- Tout d’abord, la garantie de confidentialité ne porte que sur les « Services principaux ». En voici la liste : « Gmail (Inbox by Gmail inclus), Agenda, Classroom, Contacts, Drive, Docs, Forms, Google Groupes, Sheets, Sites, Slides, Talk/Hangouts et Vault. » Il est précisé que les autres services, » ne sont pas régis par l’accord de confidentialité pour les données des élèves (Student Privacy Pledge) ni par le contrat G Suite. Par conséquent, nous pouvons être amenés à utiliser les informations contenues dans ces services complémentaires autrement que celles des services principaux de G Suite. Par exemple, les services complémentaires peuvent diffuser des annonces, et Google peut utiliser les informations contenues dans ces services pour les améliorer. » C’est toujours le principe du cheval de Troie : les services principaux sont gratuits et protégés, mais si on utilise n’importe quel autre service, tels Google Maps, Blogger, YouTube (et gageons que nous y serons incités), le profilage peut avoir lieu.
- Google mentionne que « Lorsque G Suite est utilisé dans des établissements du primaire ou du secondaire, Google n’exploite pas les informations personnelles (ni aucune autre information associée à un compte Google) des utilisateurs dans le but de diffuser des annonces ciblées. » L’absence de l’enseignement supérieur dans cet engagement laisse évidemment perplexe… Faut-il entendre que les étudiants et les personnels d’une université peuvent être l’objet d’annonces ciblées ? Là encore, la lecture du contrat mystérieux serait sans doute éclairante.
- L’établissement fournit à Google des données indispensables au fonctionnement du service (nos noms, nos adresses email et nos mots de passe). Mais l’Avis de confidentialité stipule que l’établissement pourrait fournir d’autres données à Google : « une adresse e-mail secondaire, un numéro de téléphone et une adresse postale si l’établissement décide de fournir ces renseignements ». Est-ce le cas à Paris 3 ? L’université a-t-elle communiqué ces informations à Google ? De toutes façons, Google se réserve le droit d’en prélever d’autres, sans nous demander notre avis : « Informations sur l’appareil telles que le modèle de celui-ci, la version du système d’exploitation, les identifiants uniques de l’appareil et le réseau mobile, y compris le numéro de téléphone de l’utilisateur ; données de journalisation, notamment la manière dont l’utilisateur a utilisé les services, les événements liés à l’appareil et l’adresse IP de l’utilisateur ; données de localisation telles que déterminées par diverses technologies comme l’adresse IP, le GPS et d’autres capteurs ; numéros d’application uniques, tels que le numéro de version de l’application ; cookies ou autres technologies similaires utilisés pour collecter et stocker des informations sur un navigateur ou un appareil, telles que la langue sélectionnée et d’autres paramètres » Vous avez bien lu : le contrat passé par Paris 3 avec Google autorise celui-ci à récupérer les coordonnées GPS de votre téléphone si vous utilisez les services G Suite avec celui-ci…
- Qui a accès à nos données ? A priori, uniquement les administrateurs de chez Google. Une ligne du contrat type laisse cependant perplexe : « Dans certains cas, nous pouvons être amenés à partager les informations que nous collectons. […] Pour des besoins de traitement externe. Nous transmettons des informations personnelles à nos sociétés affiliées ou autres sociétés ou personnes de confiance qui les traitent pour notre compte, selon nos instructions, conformément à nos Règles de confidentialité et dans le respect de toute autre mesure appropriée de sécurité et de confidentialité. » De qui s’agit-il ? Serons-nous avisés de ce transfert de nos données personnelles ?
Pour le reste, on croira si l’on veut aux engagements de Google (dont nous ne connaissons pas le détail pour Paris 3) sur la non utilisation des données à des fins publicitaires. Il est tout de même permis de s’interroger sur les motivations du géant publicitaire pour nous fournir gratuitement ses services…
Portes dérobées, pirates et espionnage d’État
Mais nos données peuvent aussi tomber dans d’autres mains que celles de Google, et il faut aussi être attentifs à ces possibles dérives.
Écoutons d’abord les alertes lancées par Julian Assange : « Google intègre des systèmes d’intelligence artificielle au système de sécurité nationale […] C’est une menace pour l’humanité. Nous devons cesser d’alimenter Google.” Edward Snowden, autre lanceur d’alerte, avait révélé en 2013 que la NSA disposait des moyens techniques pour prélever directement les données qui l’intéressent sur les serveurs de Google. On nous a évidemment raconté que ces dérives avaient été stoppées et qu’un tel espionnage ne serait plus possible aujourd’hui… Il n’en demeure pas mois que des chercheurs connectés avec des collègues du monde entier doivent être particulièrement vigilants sur ces questions. Il n’est pas besoin de travailler sur la sûreté nucléaire pour intéresser les services secrets américains… Et nos collègues de pays peu démocratiques, qui nous écrivent et nous envoient des fichiers, doivent être informés que toutes ces données transitent sur les serveurs de Google.
Autre sujet d’inquiétude : les services Google peuvent être piratés, comme ceux de n’importe quel autre fournisseur. En 2014, 5 millions de mots de passe Gmail étaient publiés en ligne par des pirates russes. La popularité des services Google attire les pirates : piratage à partir de fausses pages Google Drive, modification d’un compte Gmail grâce à une faille du logiciel, ciblage des comptes Gmail par un virus, etc. Il suffit de taper « pirater gmail » dans votre moteur de recherche favori pour trouver des dizaines de sites qui proposent obligeamment des méthodes et des logiciels pour pirater un compte Gmail. Il va de soi que tout cela n’est pas toujours d’une grande efficacité, que les failles sont comblées au fur et à mesure par Google, qui a mis en place des méthodes d’authentification sophistiquées (et qui lui permettent, soit dit en passant, de récupérer votre numéro de portable…) Mais il n’en demeure pas moins que les services Google sont la cible de nombreuses attaques et que ses utilisateurs en seront les victimes si elles réussissent, avec toutes les conséquences que cela entraîne quand il s’agit de comptes professionnels.
Évasion fiscale
Google, comme beaucoup de multinationales, est régulièrement mise en cause pour ses pratiques d’évasion fiscale. Pour la France seulement, cela se chiffre en milliards. Tous les moyens sont bons :
- Le « sandwich irlandais » : les bénéfices du groupe sont enregistrés en Irlande où la fiscalité sur les entreprises est réduite (Le Figaro)
- Transfert vers des paradis fiscaux offshore (Silicon)
- Sous-estimation des bénéfices : Google « n’a ainsi payé que 5,4 millions d’euros d’impôt sur les sociétés (pour un chiffre d’affaires compris entre 1,25 à 1,4 milliard d’euros en France, selon les estimations) » (Ça m’intéresse)
Le gouvernement français et la commission européenne bataillent depuis des années pour que Google paie des impôts équitables. Est-il normal qu’un service public financé par l’impôt assure la promotion d’une société qui a de tels comportements ?
***
Au total, on comprend mal ce qui a pu pousser les dirigeants de Paris 3 dans les bras d’une telle entreprise, en dehors d’un sens étroit des économies. Mais les « utilisateurs finaux » que nous sommes ont aussi leur mot à dire comme citoyens et une déontologie à observer comme fonctionnaires.