CCTV Google on Fourth Avenue - Photo CC by-nd Hrag Vartanian

Google pourrait bien se faire prochainement taper sur les doigts par les gardiennes de la vie privée en Europe ! C’est en tout cas ce que croit savoir le Guardian, qui avançait il y a deux jours :

Le changement unilatéral de la politique de confidentialité de Google en mars dernier devrait subir dans les jours qui viennent les foudres des commissions européennes en charge de la protection des données.

Conditions générales de mystification

Écrites en petits caractères et dans un jargon peu accessible : ce sont les magnifiques "conditions générales ...

Dans le viseur : la drôle de tambouille opérée il y a quelques mois sur ses comptes utilisateurs. Google avait alors décidé de réunir en un bloc allégé les conditions d’utilisation (CGU) de ses différents services : YouTube, Gmail, Google+ et compagnie. Unifiant au passage les informations laissées par un même utilisateur sur les sites en question : historique de navigation, mails ou bien encore vidéos et chaînes favorites. Bref, tout.

À en croire l’argumentaire d’alors, cette rénovation permettait d’offrir plus de lisibilité aux utilisateurs, en instaurant une “expérience magnifiquement simple” à travers l’univers magique de Google.

Mais la Cnil ne croit pas vraiment au monde merveilleux des Googlenours, et levait déjà un sourcil circonspect face à ces changements, qui apparaissent surtout “magnifiquement simples” pour une utilisation bien plus fine et ciblée des données personnelles. Elle n’a pas hésité à tacler l’opération de Google dès son lancement, en mars dernier, évoquant son “inquiétude” et allant jusqu’à réclamer au géant américain de mettre ce chantier en pause :

[...] Au lieu d’améliorer la transparence, la formulation des nouvelles règles et la possibilité de combiner des données issues de différents services soulèvent des inquiétudes et des interrogations sur les pratiques réelles de Google. Avec les nouvelles règles, Google pourra suivre et associer une grande partie des activités des internautes, grâce à des produits comme Android, Analytics ou ses services de publicité.
[...]
La CNIL a envoyé une lettre à Google pour lui faire part de ces inquiétudes. Au regard des premières conclusions de cette enquête, la CNIL a réitéré, pour le compte du groupe des CNIL européennes, sa demande à Google d’un report de la mise en œuvre des nouvelles règles.

Face à ces inquiétudes partagées dans différents pays de l’Union, la Cnil annonçait dans le même temps avoir “été désignée par les CNIL européennes pour mener l’analyse des nouvelles règles de confidentialité de Google”. Réunis au sein d’un groupe de travail baptisé “Article 29″, ces gendarmes de la vie privée ont en effet pour ambition d’orienter la Commission européenne en matière de protection des données personnelles.

Toujours selon la Cnil, les premiers examens n’étaient pas bons et laissaient croire que Google ne respectait “pas les exigences de la Directive européenne sur la protection des données (95/46/CE) en termes d’information des personnes concernée.” Une position alors vivement partagée par Viviane Reding, commissaire européenne en charge de la justice, qui lançait dans un entretien au Guardian :

Nous ne sommes pas en train de jouer à un jeu ici !

S’en était suivie une véritable partie de ping-pong institutionnel, fait de rencontres, de lettres [PDF] et d’envois de questionnaires, visant à élucider l’utilisation que fait Google de nos données. Et qui n’a pas permis à la Cnil de lever ses inquiétudes. En clair, c’était mal barré pour Google en Europe et la situation ne semble pas s’être arrangée avec le temps…

Toujours selon le Guardian, les Cnil européennes peuvent exiger de Google qu’il annule ces changements, bien que le scénario soit peu probable. “Ce serait comme vouloir ‘retirer les œufs de l’omelette’”, estime un avocat conseil du groupe de pression Icomp, présenté par le journal anglais comme “critique des politiques de Google”.

Contactée hier par Owni, la Cnil n’a pas souhaité faire de déclarations dans l’immédiat, précisant qu’une communication sur la question était prévue dans une semaine. Rendez-vous est donné le mardi 16 octobre 2012 à 10h30. De son côté, Google indique ne pas avoir reçu de “notification ou de message en ce sens”, et déclare ne pas avoir “de commentaire a partager.”

Se reposer sur la bonne volonté des membres pour aider Facebook à rester transparent est une chose. Forcer les utilisateurs à dénoncer leurs petits camarades en est une autre. C’est pourtant ce que propose Facebook dans l’ une des ses nouvelles fonctionnalités récemment décriées en France : quelques personnes ont été sommées de confirmer l’identité de leurs amis utilisant un pseudonyme. Des cas isolés qui illustrent tout de même le manque de discernement de l’entreprise, mettant sur le même plan les dangers d’une publication d’informations dangereuses ou de contenus contraires aux bonnes moeurs et l’utilisation de pseudonymes.

On ne badine pas avec la sécurité chez Facebook. Le réseau traque les contenus haineux, pédophiles, racistes, et plus globalement, toute utilisation frauduleuse des profils, de l’usurpation d’identité au piratage de compte. Lorsque l’entreprise a présenté l’année dernière le signalement social, comme « un outil innovant permettant aux utilisateurs de signaler un abus non seulement à Facebook mais aussi directement à leurs amis, ces derniers pouvant aider à résoudre les problèmes », elle a officialisé un nouveau rôle pour ses membres : celui de chien de garde.

L’utilisateur est alors considéré comme l’un des piliers de la sécurité et se devra d’aider les équipes dans leur recherche. Qu’il se rassure, il pourra remplir les objectifs de sa mission en toute discrétion, puisque ” la personne signalée n’est pas informée de l’identité de l’utilisateur qui a fait le rapport “. Selon un porte-parole de Facebook France, le signalement social est un outil efficace et même nécessaire, qui complète pleinement le travail de l’entreprise :

Les internautes utilisent Facebook pour rester en contact avec leurs amis et leur famille, pour savoir ce qu’il se passe dans le monde et pour partager et exprimer ce qui importe à leurs yeux. Ils tireront le meilleur du site en utilisant leur véritable identité. Cela permet un environnement plus sécurisé et digne de confiance pour tous les utilisateurs.

C’est pourquoi Facebook essaie constamment d’améliorer la sécurité de ses utilisateurs, en mettant à jour certains outils ou en développant de nouvelles fonctionnalités. Afin de lutter contre les faux comptes, Facebook a mis en place un système de signalement social qui permet entre autre aux utilisateurs de signaler les faux comptes sur Facebook.

Pour gérer ces signalements, Facebook a une équipe dédiée qui s’occupe spécifiquement des questions de fausse identité. Cette équipe lit les remarques qui lui sont envoyées, vérifie les signalements d’éventuels faux profils et agit en conséquence.

En réalité, derrières ces louables intentions se cache une réalité beaucoup plus simple : le réseau, dépassé par sa popularité, cherche à faire des économies. En 2010, alors que Facebook ne comptait “que” 500 millions de membres (plus de 900 millions aujourd’hui), les plaintes pour contenus contraires aux politiques générales d’utilisation du site étaient enregistrées par seulement deux équipes, l’une basée en Californie, l’autre en Irlande. En 2012, deux nouvelles équipes au Texas et en Inde sont venues compléter l’effectif mais elles ne semblent pas suffisantes pour assurer une modération globale.

Les consommateurs abandonnés aux FAI

C'est aux consommateurs de garantir la neutralité du net. Pas aux institutions. Si les opérateurs limitent l'accès à ...

Done is better than perfect !

Ces méthodes sont pourtant typiques de Mark Zuckerberg qui applique une seule et même devise à l’ensemble de son travail « Done is better than perfect ». Le tâtonnement permanent du jeune milliardaire ne semble pas réjouir les utilisateurs de Facebook aux États-Unis, où les lois régulant la vie privée sont moins contraignantes que les textes européens : 25% d’entre eux avouent entrer de fausses informations sur leur profil afin de protéger leur identité contre 10% en 2010. Les dérives du social reporting n’inquiètent cependant pas encore les associations de défense des libertés numériques telle l’Electronic Frontier Foundation (EFF) car Facebook n’a pas encore officialisé cette fonctionnalité. Mais même les violations ponctuelles des libertés peuvent nuire aux utilisateurs.

Pire encore, cette obsession de la transparence pousse l’entreprise à employer des mesures radicales, peu efficaces mais permettant de mieux contrôler ses ouailles, comme la surveillance des messageries privées. La chasse aux pervers et aux profils dangereux devient une priorité qui prévaut sur le respect de la vie privée et des libertés.

Facebook va tenter de faire son mea culpa en intégrant le Global Network Initiative, un groupe de travail composé d’entreprises, d’investisseurs, d’associations de défense des libertés et de chercheurs et spécialisé dans la protection des libertés d’expression et de la vie privée dans le secteur des Nouvelles Technologies de l’Information et de la Communication, qui compte déjà dans ses rangs Google, Microsoft et Yahoo. Mais l’on ne sait toujours pas ce que Facebook compte y trouver et encore moins quelles seront les garanties pour les utilisateurs. Une opacité qui remet en cause la bonne volonté affichée de l’entreprise qui exige encore une fois de faire ce qu’elle dit mais pas ce qu’elle fait.

Dans les séries américaines, on lit leurs droits avant toute chose aux personnes interpellées par la police. Sur le web, les internautes auraient également besoin qu’on leur “lise leurs droits”, car au fil de notre navigation, nous sommes sans cesse en train d’accepter des conditions contractuelles d’utilisation des services que nous utilisons, qui influent grandement sur notre condition juridique.

Les CGU (Conditions Générales d’Utilisation) ou ToS en anglais (Terms of Service), ce sont ces pages interminables, écrites en petits caractères et dans un jargon juridique difficilement accessible au commun des mortels, que nous acceptons généralement sans les lire en cochant une case. Elles ont pourtant une incidence importante sur nos droits en ligne, notamment sur la protection de nos données personnelles, ainsi que sur la propriété de nos contenus.

Pour nous aider à y voir clair dans cette jungle des CGU, OWNI publie cette semaine une infographie (voir aussi au bas de l’article) analysant les conditions d’utilisation de quatre géants du Web : Google, Facebook, Twitter et Apple. Une image vaut mieux qu’un long discours et c’est particulièrement vrai en matière de CGU, dont l’une des caractéristiques réside dans leur opacité pour les internautes.

CGU : à prendre ou à laisser ?

Les CGU tirent leur force du fait qu’elles ne sont pas négociables par les utilisateurs des services en ligne et qu’une fois acceptées, l’utilisateur se trouve lié à ces règles par sa propre volonté. Mais ce nouveau visage de la “servitude volontaire“ n’est peut-être pas une fatalité. Les internautes semblent en effet de plus en plus prendre conscience de l’importance de ces conditions contractuelles, ainsi que du fait qu’ils peuvent agir collectivement pour obtenir des modifications.

En ce moment même a lieu sur Pinterest, réseau social montant aux États-Unis, une “manifestation virtuelle” qui pourrait déboucher sur des modifications importantes des conditions d’utilisation du site. Plus de 45 000 personnes ont épinglé en signe de protestation sur leur profil une image, avec ces mots : “Dear Pinterest, Please Change your Terms or I’m Leaving“.

Dans la tourmente depuis plusieurs semaines, après avoir subi des accusations à répétition de violation du droit d’auteur, Pinterest a été obligé de prendre très au sérieux le mécontentement populaire de ses usagers. La plateforme a modifié ses CGU de manière à adopter une attitude moins appropriative, notamment en renonçant à la possibilité de revendre les contenus de ses usagers à des tiers.

De telles actions collectives ont déjà été couronnées de succès dans le passé. En 2009, lorsque Facebook avait modifié ses CGU afin de s’accorder “tous les droits, pour toujours“ sur les contenus personnels de ses usagers, une bronca s’était déclenchée qui avait fait reculer le géant des médias sociaux, alors en plein essor. L’épisode s’était terminé par la publication d’une charte des droits et responsabilités, aboutissant à un rapport plus équilibré entre la plateforme et ses utilisateurs, même si Facebook a depuis défrayé la chronique à plusieurs reprises par ses changements de CGU.

Le même phénomène s’était produit lors de la Nymwar en 2011. Après avoir bataillé férocement pour imposer aux utilisateurs de Google + de révéler leur véritable identité, la firme de Mountain View a fini par céder devant la pression pour accepter les pseudonymes.

Nul n’est censé ignorer la loi (même les CGU…)

Néanmoins, ces mobilisations des internautes ne sont pas toujours suffisantes pour obtenir de meilleurs équilibres dans les CGU des services et l’infographie d’OWNI montre bien la condition plus que précaire de nos droits, face à des géants comme Twitter, Facebook, Apple ou Google.

La question se pose alors de savoir dans quelle mesure les États, par le biais de leurs lois, sont capables de protéger les citoyens contre les dérives les plus inquiétantes des médias sociaux, notamment en termes d’exploitation des données personnelles.  Même si les dérives des médias sociaux se succèdent à un rythme inquiétant, l’actualité récente a montré que les États ne sont pas complètement démunis pour faire pression sur les grandes firmes du web.

Outre-Atlantique, la puissante Federal Trade Commission est ainsi parvenue en novembre 2011 à imposer, par le biais d’un accord amiable avec Facebook, une mise sous surveillance pendant 20 ans du réseau social, qui devra se plier régulièrement à des audits indépendants concernant l’utilisation des données personnelles. Plus important encore du point de vue des CGU, Facebook s’est engagé à obtenir le consentement explicite des utilisateurs lors du changement de ses conditions d’utilisation, et notamment de ses réglages de confidentialité.

En effet, comme le montre bien l’infographie, les CGU ne sont pas seulement complexes  ; elles sont aussi mouvantes et connaissent des changements réguliers, que les utilisateurs sont réputés accepter implicitement, après s’être inscrits une fois sur un service. Ce type de clauses peuvent s’avérer particulièrement dangereuses et “déloyales”. C’est par ce biais que Twitter par exemple a pu se présenter pendant trois ans comme une plateforme respectueuse des droits de ses utilisateurs, avant de changer brutalement ses CGU en 2009 pour obtenir rétroactivement des droits très étendus sur les contenus de ses utilisateurs. Cette clause est restée longtemps “dormante”,  jusqu’à ce que Twitter revende le mois dernier deux ans d’archives à des sociétés anglaises de data mining. L’évolution des CGU ressemble parfois à une partie d’échecs, où les attaques se construisent plusieurs coups en avance…

Du côté des données personnelles, une nouvelle directive est actuellement en préparation pour remplacer l’actuel texte en vigueur qui remonte à 1995. Si elle est à l’origine d’un régime reconnu comme l’un des plus protecteurs au monde, cette directive commence à atteindre ses limites, confrontée à de nouveaux défis comme le cloud computing ou à des pratiques de croisement de données sans précédent, comme celle que Google vient de s’octroyer la possibilité de mettre en oeuvre en unifiant les conditions d’utilisation de ses différents services.

D’autres CGU sont-elles possibles ?

Pour agir en amont afin de garantir la protection des données personnelles, on évoque de plus en plus comme solution le “Privacy by Design“, c’est-à-dire la prise en compte de la vie privée dès la conception, qui pourrait être consacré par la future directive européenne.

Mais ce “Privacy by Design” peut aussi résulter des CGU d’un service, qui agissent alors comme une sorte de “code génétique” modelant son fonctionnement dans le sens du respect des droits des utilisateurs. C’est le cas par exemple du réseau social alternatif Diaspora, dont le “Bill of Rights“ est axé sur le respect d’un certain nombre de principes d’honnêteté, de transparence, de prédictibilité, de maîtrise, plaçant le respect des droits individuels au cœur de la plateforme.

Cet exemple montre comme le souligne l’infographie que d’autres CGU sont possibles, que ce soit en termes d’intelligibilité ou d’équilibre des droits.

Certaines plateformes par exemple utilisent les licences libres pour garantir que les contenus produits par les utilisateurs, s’ils peuvent être réutilisés, ne pourront pas faire l’objet d’une appropriation exclusive. C’est le cas par exemple du réseau de microblogging alternatif identi.ca, placé sous licence Creative Commons BY ou bien entendu, de l’encyclopédie collaborative Wikipédia, où la licence CC-BY-SA tient lieu de CGU pour la partie propriété des contenus. Personne n’étant en définitive propriétaire du contenu global de Wikipédia, cette forme de non-propriété protège les contributeurs contre les risques de revente qui ont pu survenir pour d’autres plateformes contributives, même si tout risque de dérive n’est pas absolument écarté comme l’a montré récemment le partenariat entre Orange et Wikipédia.

Le réseau Tumblr s’est récemment distingué de son côté par l’effort qu’il a consacré pour traduire en termes intelligibles ses CGU, en s’écartant du jargon juridique habituel et allant même jusqu’à recourir à l’humour. Les clauses relatives à la propriété des contenus par exemple sont ainsi clairement compréhensibles et remarquablement équilibrées :

When you upload your creations to Tumblr, you grant us a license to make that content available in the ways you’d expect from using our services (for example, via your blog, RSS, the Tumblr Dashboard, etc.). We never want to do anything with your content that surprises you.

Something else worth noting: Countless Tumblr blogs have gone on to spawn books, films, albums, brands, and more. We’re thrilled to offer our support as a platform for our creators, and we’d never claim to be entitled to royalties or reimbursement for the success of what you’ve created. It’s your work, and we’re proud to be a part (however small) of what you accomplish.

(Quand vous mettez vos créations sur Tumblr, vous nous accordez une licence permettant de rendre votre contenu disponible conformément à ce que vous pourriez attendre en utilisant nos services (par exemple, via votre blog, le flux RSS ou sur le Tumblr Dashboard, etc.). Nous ne voulons jamais faire avec votre contenu quoique ce soit qui pourrait vous surprendre.
Autre élément notable : de nombreux Tumblr ont donné suite à des livres, des films, des albums, des marques, et plus encore. Nous sommes ravis d’apporter notre soutien en tant que plate-forme pour nos créateurs et nous ne réclameront jamais de droit à des royalties ou à un remboursement pour le succès remporté par ce que vous avez créé. C’est votre travail, et nous sommes fiers d’avoir contribué (aussi modestement soit-il) à ce que vous avez accompli.)

On est ici très loin, comme le montre l’infographie, des méandres tortueuses des 47 pages de CGU des services d’Apple ou du double langage employé dans les CGU de Twitter. Ce type de démarche indique même peut-être une voie intéressante pour régénérer l’approche des CGU. De la même manière que les licences Creative Commons ont modifié l’approche du droit d’auteur en traduisant les contrats en termes compréhensibles par les humains (“human readable”), on pourrait imaginer un effort similaire pour transcrire les CGU en des principes plus courts et plus clairs.

Outre un travail sur le langage, cette démarche pourrait également comporter une dimension graphique, recourant comme les Creative Commons  à des logos pour exprimer de manière lisible en un coup d’oeil les conditions d’utilisation.

La fondation Mozilla avait ainsi proposé des “Privacy Icones” qui auraient permis de faire apparaître clairement aux yeux des internautes la politique de confidentialité des sites Internet. Cette approche graphique, qui reviendrait à créer des “Creative Commons de la présence numérique“, pourrait en effet s’avérer beaucoup plus efficace que les chartes ou déclaration des droits que l’on trouve sur certains sites.

La question de l’hybride juste, enjeu des CGU

Au final, l’infographie d’OWNI montre que nous sommes encore très loin de l’émergence “d’hybrides justes“, selon la formule employée par le juriste Lawrence Lessig. Par le terme “hybride”, Lessig désigne le fait que les médias sociaux se sont développés à cheval entre une économie marchande classique et une économie de la contribution, qui fait que leurs contenus leur sont généralement fournis volontairement et gratuitement par leurs utilisateurs (“User Generated Content“). L’enjeu des CGU est de parvenir à créer un rapport juste et équilibré entre les droits que la plateforme doit se faire céder pour fonctionner et développer un modèle économique, et les droits que les individus doivent garder pour préserver leurs intérêts fondamentaux.

La quête de “l’hybride juste” est sans doute l’un des défis majeurs pour l’évolution du web, auquel il n’existe actuellement aucune solution entièrement satisfaisante. Toutes les pistes sont bonnes à explorer pour arriver à ce résultat et pourquoi ne pas aller faire un tour pour finir sur des sites sites qui ont mis en place des sorte d’anti-CGU, burlesques chez Oyoyo ou poétiques chez Babelio ?

Et sur 4chan, il n’y a pas de CGU, mais des Rules (“règles”), comme au Fight Club !