bandeau décoratif

L’après Covid selon Google

par Jean-Luc Manise

Le contact tracing et les initiatives visant à diminuer par la technologie les contacts humains en réponse à la crise du Covid sont en train de servir de tremplin à la stratégie des Big Tech. Leur objectif : numériser la vie sociale, culturelle et économique de la planète. Google est l’une des sociétés phare de cet éco-système digital qui induit LA nouvelle économie, celle de la surveillance.

En mettant en ligne les données anonymisées des centaines de millions d’utilisateurs de son service de géolocalisation G-Maps, Google permet à 130 pays, dont la Belgique, d’avoir accès à des données précises de l’évolution des déplacements de sa population. A l’unisson avec Apple, le géant mondial de la publicité en ligne a annoncé le 10 avril dernier que tous deux travaillaient à une technologie de traçage des contacts « afin d’aider les gouvernements et les agences de santé à réduire la propagation du virus ».

Interface de traçage

Les deux sociétés américaines mettent à la disposition des agences de santé publique une interface de programmation (API). Le code source de celle-ci a été publié fin juillet. Exposure Notification, c’est son nom, permet aux pouvoirs publics de développer des applications de traçage de contacts compatibles avec les smartphones Androïd (le système d’exploitation de Google, 86% de parts de marché) et Ios (celui d’Apple, 14% de parts de marché). Une fois installée, l’app de tracking permet à un utilisateur qui le souhaite de prévenir de façon automatique les personnes qu’il a croisées les jours précédents s’il est révélé positif au Covid 19. Pour ce faire, le logiciel garde en mémoire les adresses des autres smartphones qu’il a détectés lors du déplacement de son propriétaire via le protocole de communication sans fil courte distance Bluetooth. Une fois par jour, l’app va télécharger une liste de signaux ayant été vérifiés comme appartenant à des personnes contaminées par le Covid. S’il y a correspondance entre les signaux, l’utilisateur en sera notifié. A ce jour, plus de 30 pays et 6 Etats américains ont décidé d’adopter cette technologie. Si la France et la Belgique ont choisi une approche différente, préférant garder la main sur leur solution de traçage numérique anti covid, la toute grande majorité des nations, dont finalement l’Allemagne et le Royaume-Uni qui voulaient au départ travailler sur base de compétences propres, font confiance à l’expertise de Google et Apple en matière de collecte et d’analyse des données.

Sur base volontaire uniquement

Mais quid de la récolte et du traitement de ces données sensibles ? Afin de ne pas être perçu comme les fournisseurs d’un outil de surveillance de masse, Google et Apple ont d’emblée indiqué que la confidentialité était au cœur de la conception de leur API. Et mis des conditions : l’application ne sera déployée que sur base volontaire et ne pourra pas donner lieu à une exploitation commerciale. Une seule agence par pays, état ou région pourra l’utiliser et ce devra être un organisme officiel. Le système ne collecte aucune données de géolocalisation et Apple et Google pourront le désactiver pays par pays quand les Etats le jugeront nécessaire.

La vie privée ne peut pas être un bien de luxe

Aider la société civile tout en mettant des garde fous à la collecte des données privées et sensibles : cette posture a été entérinée un an avant le Covid par le PDG du groupe Alphabet et de sa filiale Google lui même. C’était dans une tribune publiée le 7 mai 2019 dans le New York Times à l’occasion de la conférence annuelle des développeurs du géant de la recherche en ligne. Sundar Pichar a répété son message lors du sommet 2020 de Davos début janvier : « Privacy cannot be a luxury good ».

Pour le patron de Google, la vie privée est au centre des préoccupations de sa compagnie. « Cela ne peut pas être, s’exprime-t-il dans les colonnes du NewYork Times, « un produit de luxe réservé aux personnes qui en ont les moyens. Même dans les cas où nous proposons un produit payant comme YouTube Premium, qui inclut une expérience sans publicité, la version standard de YouTube dispose de nombreux contrôles de confidentialité intégrés. Par exemple, nous avons récemment introduit le mode Incognito qui vous permet de naviguer avec Chrome sans qu’aucune de vos activités ne soit liée à YouTube. Vous pouvez utiliser YouTube en tant qu’utilisateur identifié ou en mode navigation privée. Pour rendre la confidentialité effective, nous vous proposons des choix clairs et significatifs concernant vos données. Tout en restant fidèle à deux guides lines : Google ne vendra jamais aucune information personnelle à des tiers et vous décidez comment vos informations sont utilisées. » Un bémol cependant, l’ensemble de ces mesures ne sont pas activées par défaut.

Imagine demain le monde

Cela résume bien la position du géant américain qui vit comme Facebook de l’extraction des données de ses utilisateurs. Volet confidentialité et respect de la vie privée, c’est le service minimum. Tout est pensé pour engranger le plus de données possible afin d’en tirer la quintessence publicitaire et comportementale grâce aux applications d’intelligentes artificielles dans lequel Google investit des milliards de dollars. Pour s’en convaincre, il suffit de se pencher sur la façon dont la société de Mountain View imagine et construit le monde, dans quel secteur elle investit et sur quels dossiers elle entre en confrontation avec les organisations publiques et les ONG de défense de la vie privée.

Avoir un vue unique de toutes les données de l’utilisateur

Retour sur image. C’est en 2012, 4 ans après avoir racheté le spécialiste de la publicité en ligne DoubleClick, que Google a opéré un virage magistral dans sa politique de confidentialité, s’autorisant à croiser les données issues de ses nombreux services dont le moteur de recherche G-Search mais aussi G-Maps, G-Analytics ou encore G-Photo. Une fois combinées, elles peuvent mieux être interprétées pour adresser du contenu publicitaire ciblé aux utilisateurs des services « gratuits » de la société. L’intention selon la responsable du volet confidentialité de l’époque, Alma Whitten ? Mieux connaître l’utilisateur pour mieux le servir, avec une information et une publicité ad hoc : « Nous pourrons peut-être vous rappeler que vous allez être en retard à une réunion en fonction de votre emplacement, de votre calendrier et d’une compréhension de la circulation ce jour-là. Nous pourrons également vous procurer des publicités plus pertinentes Par exemple si vous n’êtes pas un fan de gym, les publicités pour des cours de fitness ne vous seront pas très utiles. »

Non respect du droit européen

Cette utilité sociale versus Google provoquera une série de réactions en chaîne, essentiellement du côté des Commissions de protection de vie privée européennes, avec lesquelles Google entamera un bras de fer. Les 27 autorités de protection des données parleront finalement d’une seule voix. En janvier 2013, c’est l’entité française, la CNIL, qui sera chargée de piloter un groupe de travail restreint réunissant 6 d’entre elles. L’objectif : faire pression sur la société américaine afin qu’elle modifie des règles jugées non conformes au respect de la vie privée des populations européennes, sous peine de sanction. Un an plus tard, au terme de trois mois d’ultimatum, la CNIL sanctionne Google d’une amende de 150.000 euros, le maximum possible en France, pour son refus de rendre conforme au droit français sa politique de confidentialité des données sur Internet. De leur côté, l’Allemagne, le Royaume-Uni, l’Italie, l’Espagne et les Pays-Bas passent également à l’action, chacun selon les procédures propre à leur pays.

Pas clair, pas transparent, difficile d’accès

C’est une course contre la montre que Google va engager avec les différentes Commissions vie privée avec en ligne de mire l’adoption du RGPD (Règlement Général sur la Protection des Données), un cadre européen de protection beaucoup plus contraignant (20 millions d’euros ou 4% du chiffre d’affaires d’amendes) qui vise également les sociétés non européennes actives sur le vieux continent. Le dossier aboutira en 2019 à une amende record de 50 millions d’euros pour manque de transparence, de clarté et de difficulté d’accès aux informations « sensibles », c’est à dire aux commandes permettant de restreindre l’accès de Google aux données de ses utilisateurs. Par exemple explique la CNIL dans son communiqué, si l’on veut savoir ce que Google fait des données de géolocalisation de ses utilisateurs, l’utilisateur doit (1) consulter « les Règles de confidentialité et conditions d’utilisation » ; (2) cliquer sur « Plus d’options » ; (3) cliquer sur le lien « En savoir plus » pour que soit affichée la page « Historique des positions » ; (4) retourner au document « Règles de confidentialité et consulter la rubrique « Informations relatives à votre position géographique » pour accéder au reste de l’information ; (5) cliquer sur les liens relatifs aux différentes sources utilisées pour le géolocaliser.

Des traitements massifs et intrusifs

La CNIL constate encore que les traitements de données mis en œuvre par Google sont particulièrement massifs et intrusifs : les données (historique de navigation web, historique d’usage des applications, carnets d’adresses, géolocalisation, etc.) sont collectées non seulement à partir de l’utilisation du téléphone, de l’utilisation de la vingtaine de services de la société mais aussi à partir des données générées par l’activité des utilisateurs lorsqu’ils se rendent sur des sites tiers utilisant les services Google (notamment via les cookies Google analytics déposés sur ces sites). En bref, ces données sont susceptibles de révéler des aspects intimes de la vie privée des individus comme les habitudes de vie, les goûts, les contacts, les opinions ou encore les déplacements des utilisateurs. Pour la CNIL, Google prive les utilisateurs de garanties fondamentales concernant des traitements pouvant révéler des pans entiers de leur vie privée, car reposant sur un volume considérable de données, une grande variété de services et des possibilités de combinaison de données quasi-illimitées.

Rapport de force

Tout le rapport de force est là. Par défaut, Google met la collecte de données au coeur de chacun de ses dispositifs, de chacun de ses services, de chacune de ses actions. Au maximum légal possible : business as usal. En 2011, la CNIL, encore elle, l’a condamné à 110.000 € d’amendes. En 2013, l’autorité de protection des données de Hambourg a fait de même, à hauteur de 145.000 €. C’est qu’entre 2008 et 2010, les fameuses Google Cars ne se sont pas contentées de photographier les rues et habitations françaises et allemandes. Ses capteurs Wifi ont avalé avec gloutonnerie courriers électroniques, mots de passe et photos transitant dans les antennes wifi non sécurisées des villes sillonnées par les véhicules caméras. Peter Fleischer, directeur protection des données personnelles de l’époque chez Google devait prêcher la fausse manœuvre : « Nous sommes profondément désolés d’avoir collecté par erreur des données circulant sur des réseaux Wi-Fi non sécurités. » Au total, le géant américain se sera acquitté d’une amende de 7 millions de dollars auprès de 30 Etats américains après la révélation en 2010 de cette collecte accidentelle qui a concerné une trentaine de pays de par le globe. Google invoquera également une erreur lorsque l’on découvrira que le capteur domestique Nest Guard (du fabricant de thermostats connectés Nest Labs que Google a racheté le 13 janvier 2014 pour 2,3 milliards de dollars) intégrait un micro non renseigné dans la documentation technique. La société invoquera le bug lorsque, à quelques jours du lancement de Google Home Mini, l’un des journalistes qui avait reçu l’équipement en test s’apercevra que l’assistant domestique restait à son écoute 24 heures sur 24. Explication : une mauvaise programmation activait d’office l’assistant vocal.

Ultra Massive Data Capture by Default

Google plie parfois, fait marche arrière de temps en temps, va jusqu’à s’excuser. Mais ne rompt pas. Lorsque la société annonce ne plus scanner les courriers électroniques Gmail, elle permet à des tiers comme Edison Mail et Return Path de continuer à le faire.

Son modèle la conduit inexorablement à développer l’éco-système de captation de données -et quelque part de surveillance- qui lui permet de grandir et fructifier (chiffre d’affaires 2018 de 136,8 milliards de dollars et bénéfice de 30,7 milliards de dollars). Nous nous trouvons à l’inverse du Privacy by design préconisé par le RGPD. Les développeurs de Google ont comme base de référence l’Ultra Massive Data Capture by Default.

Labo à ciel ouvert

La façon dont Google voit le monde se résume au fond très bien dans ses projets de ville intelligente. Son co-fondateur, Larry Page, rêve depuis toujours d’une smart city ultra connectée qui pourra servir de berceau aux innovations concoctées par ses équipes. En 2015, il donne naissance Sidewalks Labs, une société sœur de Google dont la mission est d’accoucher d’une cité laboratoire à ciel ouvert où les nouvelles applications et services du groupe Alphabet pourront être développés, testées pour ensuite être mondialisés afin d’augmenter le fabuleux compte en banque de données du géant américain.

Voitures autonomes et robots livreurs

Deux ans plus tard, Sidewalks Labs remporte un appel d’offre lancé par Waterfront Toronto. Objectif de l’organisme public canadien : revitaliser les rives de la ville de Toronto en aménageant la zone portuaire désaffectée de Quayside.
L’enthousiasme est prégnant. Daniel Doctoroff, Directeur de Sidewalk Labs déclare : « Nous avons cherché dans le monde entier l’endroit idéal pour donner vie à la notre vision du quartier du futur. Nous l’avons trouvé ici à Toronto. » Le projet avancé par la filiale d’Alphabet est ambitieux : il doit déboucher sur une ville durable et doper l’économie locale, avec la perspective de 93.000 nouveaux emplois d’ici 2040 et un PIB annuel de 14,2 milliard de dollars, 7 fois plus selon Sidewalks Labs que dans le cas d’un quartier conçu de façon traditionnelle. Dans Quayside, les bâtiments sont uniquement construits avec des matériaux renouvelables, dont une structure en bois extraite des forêts canadiennes toutes proches. Affichant d’emblée une neutralité carbone, les panneaux photovoltaïques sont contrôles par un système de pilotage global des installations énergiques. Le quartier de Quayside est sillonné par des voitures autonomes électriques. Pour laisser la ville aux piétons, des robots effectuent des livraisons et le ramassage des déchets via un réseau de galeries souterraines. Les espaces publics sont modulables et les pistes cyclables chauffantes. Aux carrefours, les feux tricolores s’adaptent en temps réel au trafic.

Quayside, la ville de la donnée

Pour que tout cela fonctionne, Sidewalk adosse à l’épine dorsale de Quayside une couche digitale permettant à une solution d’intelligence artificielle d’exploiter les informations vivantes de la ville en continu.

Dans Quayside, les caméras et capteurs sont partout dans les rues, les immeubles, sur les bancs des parcs et dans les travées des parkings. Ce sont les yeux et les oreilles de la ville intelligente. Ils mesurent la qualité de l’air et l’état des équipements, assurent la gestion des services urbains. La remontée des données comportementales des habitants comme la mobilité (le flux des cyclistes et des piétons), la consommation en eau ou le remplissage des poubelles assurent un monitoring permanent de la respiration de la cité. Très vite des inquiétudes se font jour face à la possible mainmise d’un espace urbain par une société privée, assez connue pour son appétit en données.

A qui appartiennent vos informations ?

Les questions sont sensibles : quelle est la nature des données nominales et du profil d’identité numérique ? A qui appartiennent les données issues des capteurs des feux de circulations, des bancs des parcs, des poubelles intelligentes et des grandes surfaces ? Qui pourra les utiliser ? Pourront-elles ou non être monétisées. Quels sont les gardes fous, que se passe-t-il en l’absence du consentement de l’utilisateur ? Sur ces questions, les réponses de Sidewalks Labs restent floues. Mais la société sent bien que le projet est questionné en profondeur par des opposants qui se sont fédérés dans le mouvement #BlockSidewalk. Face à la montée des boucliers, Sidewalk Labs négociera, allant même jusqu’à proposer la création d’une fiducie de données civiques qui accorderait des licences pour la collecte et l’utilisation des données. Mais bien sûr, Sidewalk Labs serait acteur de la fiducie, et intéressé par l’octroi de licences. Après moult discussions et tensions, la ville de Toronto s’est prononcée en faveur de la poursuite du projet visité et revisité en octobre 2019, repoussant cependant certains demandes de la société sœur de Google dont la délégation de la gestion des données des habitants de Quayside à Sidewalk elle même.

Une cité de la surveillance

Les craintes d’une cité conduite par un opérateur privé et les interrogations quant aux impacts de la collecte massive de données indispensable au bon fonctionnement de Quayside se sont cristallisées lorsque Ann Cavoukian, ancienne commissaire à la protection de la vie privée de l’Ontario, a démissionné de son poste de consultant en expliquant avoir « imaginé la création d’une ville intelligente de la protection de la vie privée, par opposition à une ville intelligente de la surveillance. » Explication : alors que sa position était que les données recueillies auprès des résidents soient rendues non identifiables et supprimées après usage, elle avait appris que seules les données recueillies par Sidewalks Labs, et non celles récoltées par les entreprises tiers seraient anonymisées. De guerre lasse, la « .Google City ». de Toronto ne verra pas le jour. Le 7 mai dernier, Sidewalk Labs annonce qu’elle jette le gant, officiellement faute de perspective de rentabilité dans un contexte d’incertitude économique sans précédant provoqué par la pandémie.

Partie remise

C’est surtout parce que son modèle de gouvernance autonome des données a été remis en cause qu’Alphabet a reculé. Vraisemblablement pour mieux sauter. Tout comme le 11 septembre a ouvert toutes grandes les portes de la surveillance intrusive et débouché sur l’affaire Snowden, le Covid change radicalement la donne quant à la perception de son intimité et du respect de sa vie privée par les populations. Les gagnants économiques de la crise sanitaire, ce sont les big techs et plus particulièrement les GAFA. Affaiblis par des scandales comme Cambridge Analytica, par leur comportement monopolistique, par le peu de fi qu’ils font de la vie privée de leurs utilisateurs, par les modèles carnassiers façon Uber ou Amazon qu’ils imposent aux travailleurs petites mains de leurs services ou de leurs entrepôts, avant de les jeter façon kleenex pour les remplacer par des automates et des apps ; ils reviennent en grâce dans un monde sans contacts, où les échanges se font à l’abri du microbe par écran interposé. Ils sont la solution technologique au suivi des infections et au contrôle des populations. Ils sont la solution technologique de la relance.

Que serait la vie sans Amazon ?

Lors d’une tribune vidéo organisée par l’Economic Club de New York, Eric Schmidt, l’ex patron de Google et d’Alphabet, à qui le maire de New York a demandé d’imaginer l’après Covid dans l’État de New York, a détaillé sa vision de cet après. Bien sûr, les sociétés high-tech comme celle qu’il a dirigé font de leur mieux pour contribuer à l’effort de lutte contre la pandémie, conferatur le partenariat entre Google et Apple pour œuvrer au bien commun des états et de leur population. Mais il s’agit surtout de voir tout le parti qu’on peut tirer de la numérisation des secteurs clés de la vie en société. De l’approvisionnement et de la distribution comme le fait déjà avec brio Amazon, mais aussi de la mobilité, des loisirs, de la médecine, de la santé, des services sociaux, de la formation ou de l’enseignement.

Eric Schmit « . En ligne, il n’y a pas d’exigence de proximité, ce qui permet aux étudiants de recevoir l’enseignement des meilleurs professeurs, quel que soit le secteur géographique où ils résident. Et que dire de la biotechnologie, de la télémédecine et des véhicules autonome. Nous avons besoin d’une population pleinement connectée et d’une infrastructure ultra rapide. Et donc nous devons être un peu reconnaissants envers ces entreprises qui ont trouvé du capital, investi, mis en place des outils et, aujourd’hui, nous aident. Pensez à ce que serait votre vie en Amérique sans Amazon ».

On passe à la caisse

Amazon, dont la dernière innovation est le Dash Carts, un caddy qui utilise des senseurs incorporés et caméras pour lire les prix des produits. Avec la technologie Just walk, il suffit d’être équipé d’un smartphone et d’installer l’app d’Amazon. Elle va se charger de scanner les produits et de ponctionner le montant des courses sur la carte de paiement. L’intérêt est double. Le Dash Cart fournit à Amazon, en temps réel, une très belle quantité de données : quels produits le client met dans le caddy, dans quel rayon et combien de temps il s’arrête, que prend-il, que remet-il,…
A partir de là, il sera plus facile pour Amazon de cibler les personnes faisant leurs courses dans un magasin Amazon avec une app Amazon. L’autre intérêt n’est pas négligeable non plus aux yeux d’Amazon. On évite de faire la file aux caisses et, dans un contexte Covid, on évite le contact humain potentiellement infectieux. Et donc on évite la caissière ou le caissier.

Un choix connecté

L’après covid selon Google, ce n’est pas le commerçant. c’est le chariot d’épicerie connecté qui met son utilisateur à l’abri des microbes d’un travailleur. L’après Covid selon Google, c’est la privatisation de la gestion des biens publics et services comme dans le cas de Quayside, avec à la clef des licenciement massifs de travailleurs de première ligne, boutiquiers, travailleurs de la santé, travailleurs sociaux et enseignants dont Google n’a cure. Mais la firme de Mountain View a des principes : jamais elle ne les fera payer pour continuer à utiliser ses services. Google a toujours préféré se servir sur la bête.