Vie privée : Facebook ou Google, qui est le moins respectueux de nos données personnelles ?

Atlantico : Ces déclarations lors de conférences majeures peuvent rassurer les utilisateurs des deux réseaux sociaux. Est-ce un changement de paradigme ou seulement de la poudre aux yeux ?

Francesca Musiani : Ce n'est pas qu'une question de conférences. Il y a eu également des véritables re-conceptions de ces services ou de certains de leurs aspects. Pour Facebook notamment, elles amènent des modifications assez profondes, comme l'accent mis sur les "group chat". Je pense qu'il y a une partie de 'mise à jour' de paradigme, si pas de changement, et en partie des manœuvres marketing, si pas de la poudre aux yeux. Mais aussi à mon avis une prise de conscience que les scandales relatifs à la vie privée et aux données personnelles des utilisateurs ont quand même secoué la conception que beaucoup d'utilisateurs ont de Facebook et de Google et qu'il faut une partie de changement dans l'ethos de ces entreprises.

Derrière les nombreuses annonces et garanties faites par les deux géants technologiques, n'y a-t-il pas une certaine forme de "privacy washing" ? En quoi consisterait cette stratégie ?

Francesca Musiani : Il y a certes un élément marketing et 'opportuniste' important dans les stratégies récentes des GAFAM. Mais ce qui me semble intéressant à souligner est le 'pourquoi maintenant'. Il y a eu dans le passé déjà de nombreuses 'alertes à la privacy' concernant les services Internet et notamment les réseaux sociaux (pensons à celle qui a branché les feux des projecteurs sur Diaspora* https://www.joindiaspora.com), mais les dernières, les plus récentes, se sont passées dans un contexte différent, où les gens questionnent davantage les bénéfices des médias sociaux par rapport à leurs problèmes, contraintes, écueils -- le désenchantement de l'internet comme l'a bien appelé Romain Badouard. Les dernières actions des géants de l'Internet prennent en compte ce contexte changeant. 

Tristan Nitot : Google et Facebook sont deux organisations différentes avec un business model certes très proche, mais les produits sont différents. Les discours sont donc très proches, mais les actes ne sont pas identiques. Et il y a effectivement beaucoup de "privacy washing".

Chez Facebook, il y a beaucoup de bruits, beaucoup de paroles, mais peu de choses faites, peu d'actes, voire pas du tout. D'autant plus qu'il y a un historique : ils ont des casseroles qui trainent derrière eux. Les premières embrouilles ont commencé en 2007 avec Beacon. Il y a eu juste après un autre scandale quand on s'est rendu compte que l'appli Facebook prenait sur son serveur le carnet d'adresses de l'Iphone. Depuis, cela n'a fait que se multiplier. On se souviendra qu'ils ont remercié  leur chef de la sécurité, Alex Stamos, qu'ils n'ont toujours pas remplacé. Il y en a toutes les semaines. On n'arrive pas à tout suivre tellement ils transgressent les règles sur la vie privée.

Google a la même problématique : il y a une demande du marché pour plus de privacy. Mais ils sont coincés sur le fait que leur business model, comme Facebook, c'est la capture des données personnelles pour faire de la publicité. Ils peuvent toujours essayer de faire des promesses, il ne se passe pas grand-chose.

Dans la course à la protection des données, Google semble avoir de l'avance sur son concurrent, notamment grâce à une nouvelle fonction de suppression automatique qui efface l'activité web d'un utilisateur après 3 ou 18 mois. Quelles seraient les mesures à adopter pour surmonter cette crise de confiance des utilisateurs ?

Francesca Musiani : Google n'est pas le seul à envisager, parmi les nouvelles mesures de protection de la vie privée, des fonctions de suppression de contenus à terme. Parmi ses annonces récentes, Facebook a manifesté l'intention de donner de plus en plus d'importance aux Stories, ces messages "à durée déterminée" qui disparaissent après un certain temps, au lieu des entrées 'classiques' sur les Murs qui restent pour ainsi dire gravés dans le marbre. Ce type de mesures, et aussi l'attention aux mécanismes de conversation groupée et privée, se rapprochent en faite des caractéristiques principales de plusieurs outils de messagerie sécurisée/chiffrée de bout en bout (Signal par exemple). C'est intéressant de voir comment ces derniers cherchent des plus grands publics en améliorant leur usability, alors que les Gafam cherchent à se racheter en termes de privacy par les mots et on peut espérer par les actions qui doivent vite suivre. Tout pour la confiance des utilisateurs!

Tristant Nitot : Leur business model est fondamentalement bancal. Il a des défauts structurels. Il y a une contradiction entre la confiance qu'ils promettent et leur modèle. C'est juste antithétique. Et donc leur business model n'est pas pérenne. Ou alors, il est pérenne dans le cadre d'une dystopie, si jamais on s'offrait aux grandes plateformes internet et si on acceptait de dépendre complètement d'elles. Il est temps d'inventer autre chose : c'est ce qu'on essaye de faire chez Qwant. On fait un moteur de recherche où l'on ne capte pas les données personnelles. On gagne de l'argent avec de la publicité contextuelle. Si vous cherchez "soupe à la tomate", on sait que vous êtes intéressé par la cuisine : donc les annonceurs vous proposent des publicités dans ce sens.

Au-delà des mesures prises par les GAFAM, n'est-ce pas tout un modèle économique, fortement dépendant de la collecte de données, qu'il faudrait repenser ?

Francesca Musiani : Absolument; ou au moins, il faudrait reconnaître qu'un certain nombre de choses dans l'écosystème Internet qui 'ne tournent par rond' pour nous les internautes, et favorisent la centralisation et la concentration, dépendent du modèle économique des grandes plateformes, basé sur la collecte des données des utilisateurs et donc sur la rétention de leur attention sur base régulière, et autant que possible, afin de pérenniser cette collecte. Les controverses sur la désinformation, les dites 'fake news', l'ont également bien montré: quand on identifie une menace et on cherche à réguler afin de l'éliminer ou minimiser, on se focalise le plus souvent sur les contenus et leurs émetteurs. Mais tout aussi importante et peut être plus, car elle se passe de façon assez sournoise dans les coulisses de l'Internet, est l'inscription de choix politiques et sociaux dans l'architecture de l'internet, et les modèles économiques qui en découlent (j'en ai déjà parlé https://www.lemonde.fr/idees/article/2018/06/06/la-desinformation-un-phenomene-economique_5310227_3232.html).

Tristan Nitot : Je ne suis pas à l'aise avec le terme GAFAM parce que les modèles de tous ces acteurs sont très différents. Les plateformes gratuites, type Google ou Facebook, sont très proches. Apple a un business model complètement différent : vendre des gadgets hors de prix avec des marges écœurantes. Cela marche très bien ! C'est un business model qui est relativement vertueux : on paye, et on sait pourquoi on paye. Ils sont loin d'être parfaits, entendons-nous. Il y a des défauts : l'obsolescence programmée par exemple. Cela dit, ils font des machines qui tiennent sur la durée. Mais ce n'est pas une problématique qui est autour de la donnée personnelle. Ils en font un différenciateur fort par rapport à Google. Amazon utilise de la data pour des gens qui achètent sur leur site. Le business model d'Amazon, il est encore différent. Eux aussi, on peut leur reprocher des tas de choses. Leurs employés ne sont pas forcément bien traités. Le fait est, cependant, que leur business consiste éventuellement à vendre des produits au détail, ou faire du cloud et facturer les gens pour ce cloud. Ce sont des modèles relativement transparents.

J'espère que Google et Facebook vont venir à la privacy, mais dans les deux cas, je n'y crois pas. Je ne partage pas l'optimisme sur Google : Google fait un tout petit peu plus que Facebook, certes, mais ce n'est pas encore grand-chose. Ce qui est intéressant, c'est que Google est capable, technologiquement, de brider ses concurrents. Google bride par exemple la puissance des cookies, leur capacité de tracking. C'est bien, mais ils ont Chrome et Gmail : les utilisateurs sont connus nommément. Ils sont donc juges et parties : ils arrivent à exclure des sites qui pistent tout en conservant leur capacité de tracking. Ils ne sont pas eux-mêmes concernés par les mesures qu'ils mettent en place. C'est parce qu'ils ont mis le logiciel côté client.

 Il y a donc une tendance de la part de Google de faire des choses qui pénalisent les concurrents et pas eux, tout en disant : regardez, c'est de la privacy. Et de fait, c'en est, mais pas pour eux. Exemple : quand ils ont poussé tout le monde à passer sous https. Https, c'est le fait de chiffrer la conversation entre le navigateur et le serveur. Pendant très longtemps, c'était rarissime de chiffrer sauf par exemple quand on avait un paiement en ligne. Google a dit : en cette période de surveillance de tous côtés, le https devrait être systématique. Ils ont donc poussé les gens à chiffrer systématiquement. Ils ont dit : si votre site n'est pas en https, vous allez bientôt être pénalisé dans les résultats de Google. Tout le monde s'y est mis. Seulement, le diable est dans les détails. Quand vous passez sur https, il y a quelque chose qui existait avant et qui disparait : la notion de referer. Quand vous cliquez sur un lien pour allez sur une autre page extérieure, l'autre site est notifié de l'endroit d'où vous venez. En https, le referer est supprimé. Mais Google ayant Chrome, Analytics, etc., ils s'en fichent du referer : la donnée, ils l'ont déjà par ailleurs. Plus de privacy veut donc dire moins de data pour des tiers et tout autant pour Google.