Parents, vos enfants sont peut-être déjà fichés sur internet et ce avec la complicité, involontaire, de l’éducation nationale. Selon une plainte déposée par deux étudiants américains (lire sous l'onglet Prolonger), Google a en effet « subrepticement » collecté des données personnelles sur les quelque 30 millions d’élèves utilisant dans le monde une série d’outils mis à la disposition des enseignants par le géant américain. Celui-ci dément.
Baptisée « Google Apps Education », cette suite de logiciels en ligne est composée des services de bureautique les plus connus de la société : Google Drive permettant de stocker et partager des documents, Google Agenda pour gérer les plannings, Google Group pour les mailing-listes, et bien entendu Google Mail pour la messagerie. Ces services sont « offerts » sans contrepartie aux établissements qui peuvent y accéder et les intégrer à leur réseau informatique en s’inscrivant simplement sur le site du programme.
Cette offre particulièrement alléchante a déjà séduit un grand nombre d’écoles, lycées et universités du monde entier, et de France. D’autant que, dans sa page de présentation, Google insiste sur la « sécurité et la confidentialité » de son système. « Toute notre activité repose sur la confiance que vous nous accordez », y écrit Google. « Nous sommes conscients que pour les établissements d’enseignement, la protection et la confidentialité des informations constituent une priorité. Nous prenons ces questions très au sérieux. »
Mais voilà, aux États-Unis, les deux étudiants dont les universités ont souscrit à « Google Apps Education » accusent Google de scanner l’ensemble des contenus de leurs mails, violant ainsi la loi fédérale, rapporte le site Education Week. Cette opération est pourtant clairement évoquée dans les conditions d’utilisation du service. « Il nous arrive d’analyser les contenus », prévient Google. « Mais pour de bonnes raisons, comme le filtrage anti-spam, la protection antivirus ou la détection de logiciels malveillants. Nos systèmes scannent le contenu afin d’optimiser le fonctionnement de Google Apps pour nos utilisateurs, mettant ainsi à leur disposition des fonctionnalités uniques comme la recherche avancée dans Gmail et Google Documents. Ces processus, entièrement automatisés, n’impliquent aucune intervention humaine. »
La société insiste par ailleurs sur le fait que les « Google Apps Education » n’affichent aucune publicité. « Autrement dit, les contenus utilisés dans votre école ne sont pas pris en compte par nos systèmes de publicité ». En résumé, Google scanne bien les mails envoyés et reçus par les élèves, étudiants et professeurs, mais uniquement dans un but fonctionnel et non à des fins publicitaires.
Mais l’affaire n’est pas si simple que ce qu'affirme Google. Selon les plaignants, la firme violerait allègrement ses engagements et utiliserait bien les données collectées pour placer des publicités sur ses autres services de Google selon un processus décrit avec précision dans la plainte. Celui-ci serait issu d'un système technologique, dit « Content Onebox » introduit en septembre ou octobre 2010, selon Sean Rommel, l’avocat de l’un des plaignants. Alors que jusqu’à présent, Google scannait les messages après leur arrivée, dans la boîte mail des utilisateurs, le nouveau système permettrait de scanner les mails avant leur réception, c’est-à-dire avant même qu’ils soient ouverts ou supprimés.
De plus, « Content Onebox » permettrait de créer automatiquement des profils, quels que soient les utilisateurs et même lorsque ceux-ci utilisent Gmail via les « Google Apps Education ». « Étant donné qu’un message privé est composé de données », affirme la plainte, « Google lit les données tout comme une personne lirait des mots, et acquiert ou collecte les données qu’il sait les plus importantes ». Ensuite, « Google crée des données dérivées (« métadonnées ») issues des informations privées du message afin de maximiser l’usage par Google de ces précieuses informations ». La société place alors « les parties les plus précieuses dans un espace de stockage ou des serveurs séparés ».
Enfin, « Google utilise ces données dérivées collectées séparément pour construire subrepticement des modèles ou des profils d’utilisateurs. Google utilise également les métadonnées et les contenus collectés en combinaison avec d’autres données (telles que l’historique des recherches sur le web) pour "savoir où vous êtes… savoir où vous avez été… et savoir ce que vous en pensez" ».
Concrètement, même si aucune publicité n’apparaît sur les services de « Google Apps Education », la société créerait des profils pour chaque utilisateur afin de connaître ses centres d’intérêt et afficher des publicités lorsqu’il utilise par la suite d’autres sites de Google. Ainsi, un étudiant qui, dans ses mails envoyés dans le cadre scolaire, évoque régulièrement ses goûts en matière de musique ou de cinéma, verrait s’afficher les annonces correspondantes lorsqu’il naviguera sur You Tube ou effectuera des recherches sur le moteur de recherche de Google. Selon la plainte, le service mail de Google fonctionnerait donc tout simplement comme le Gmail classique, l’affichage des publicités étant simplement reporté en dehors du domaine scolaire.
Cette bataille juridique n’est pas nouvelle. Elle a en fait été lancée à la fin du mois de septembre 2013 et elle est potentiellement explosive pour le géant américain. La plainte, portée au total par neuf personnes, vise en effet non seulement les « Google Apps Education » mais également les services du même type proposés aux entreprises et, plus globalement, Gmail en lui-même. Parmi les neuf plaignants, qui espèrent transformer leur poursuite en « class action » (action de groupe), figurent des utilisateurs volontaires de Gmail, des personnes utilisant ce service dans le cadre d’une entreprise ou d’un établissement éducatif (dont les deux étudiants), et des personnes n’utilisant pas Gmail mais dont les mails auraient été scannés lors de leur envoi à un compte Gmail. L’affaire est en tout cas particulièrement sensible pour Google au point que la société a exigé qu’une partie des documents juridiques soient censurés.
La technologie « Content Onebox » était en effet jusqu’à présent inconnue et ce n’est que lors d’une audience qui s’est tenue le 27 février que son existence a été révélée. Depuis, de nombreux passages des documents de la procédure sont barrés d’un bandeau noir. Il est donc très difficile de connaître exactement l’usage que fait Google des données qu’elle reconnaît collecter. D’autant plus que la société refuse pour l’instant de communiquer officiellement sur le sujet. Elle se contente d’affirmer que le scannage des mails et leur indexation sont bien indiqués dans les conditions d’utilisation, que les utilisateurs ont toujours la possibilité de supprimer leur compte et que, dans ce cas, leurs données ne seront pas utilisées par la suite.
Il est également impossible de savoir exactement quels établissements scolaires utilisent « Google Apps Education », ni même d’en connaître le nombre. Le site officiel propose bien une carte, sur laquelle apparaîssent surtout des établissements privés, mais celle-ci n’est visiblement pas à jour. Quelques recherches permettent de rapidement découvrir que plusieurs facultés, lycées et même collèges ont pourtant recours à ces services.
Pourtant, normalement, l’usage des outils informatiques dans un cadre éducatif est strictement encadré par « le schéma directeur des espaces numériques de travail » (SDET). Et celui-ci prévoit la mise en place d’espaces numériques de travail (ENT) respectant strictement l’anonymat des données des élèves ainsi que des conversations avec les professeurs. Mais, dans la pratique, les outils proposés ne font pas le poids face aux multiples options et la souplesse d’utilisation offertes par les applications de Google, et ce gratuitement. Dans de nombreux cas, les « Google Apps Education » viennent ainsi tout simplement remplacer les ENT. De plus, chaque enseignant dispose d’une liberté pédagogique l’autorisant à utiliser les outils de son choix au niveau de sa classe.
Contactés par Mediapart, certains responsables expliquent avoir bien conscience du problème. « Nous savions qu’il y avait une indexation des mails », raconte ainsi Lionel Brun, enseignant et responsable de la gestion du réseau au lycée Louis-Rascol à Albi, où Google Apps Education a été installé en 2011. « Je les avais d’ailleurs contactés », poursuit-il, « mais la personne nous avait affirmé que ça ne servait qu’au moteur de recherche internet de la boîte mail ». « Je me souviens que nous en avions pas mal débattu et, honnêtement, nous aurions pu nous en passer. Mais nous avions considéré que, vu que nous n’avons pas de données confidentielles, nous pouvions assumer cette petite prise de risque. »
Après ces révélations, Lionel Brun explique qu’il est prêt à « revoir sa position » si ces accusations étaient avérées. Il espère également une réelle prise de conscience et le développement d’une véritable solution capable de concurrencer Google. « Ce qu’il manque, au niveau national, c’est un outil véritablement fonctionnel que nous pourrions tous adopter», dit-il.
« Ce n’est pas vraiment un problème », estime au contraire Jean-Pierre Foucart, responsable du lycée Condorcet de Montreuil, en Seine-Saint-Denis. « Ce n’est pas du tout relié à Google+ », le réseau social de Google, explique-t-il. D’autres responsables contactés par Mediapart assument également leur choix, sans vouloir être cités, expliquant que de toute manière les élèves sont « déjà fichés » par Google, ou mettant en avant les fonctionnalités de la solution proposée par Google.
De son côté, la Cnil souligne tout d’abord qu’elle a déjà sanctionné Google dans le cadre d’une procédure lancée au niveau européen pour non-respect des règles de confidentialité. « Nous savons déjà que les règles de confidentialité de Google ne sont pas conformes aux lois européennes », explique Stéphane Petitcolas, ingénieur expert à la Commission de l'informatique et des libertés (Cnil). « Et nous savons que cette société s’autorise à recouper les données de l’ensemble de ses services. Le vrai problème dans ce type d’affaire, c’est le manque d’information des utilisateurs. Or, les règles de confidentialité affichées par Google ne sont pas suffisantes. »
Concernant le cas précis des « Google Apps Education », Stéphane Petitcolas se veut plus prudent. « Ils affirment que les données collectées ne sont pas utilisées à des fins publicitaires. Dont acte. Il est en effet totalement possible qu’ils appliquent des règles différentes en fonction des utilisateurs. En tout cas, ils en sont capables. Mais si ce n’était pas le cas, cela voudrait dire qu’ils violent leurs propres règles. » Selon lui, le problème est beaucoup plus large. « Malheureusement, il faut souligner que beaucoup de ces élèves ont, sans le savoir, très certainement déjà un profil chez Google qui crée des profils pour les "utilisateurs passifs", c’est-à-dire ceux qui n’ont pas de compte Google mais qui sont repérés via les boutons sociaux, les publicités et le système Google analytics » « Il y a une autre problématique que je trouve particulièrement inquiétante », poursuit-il, « c’est celle de la sensibilité des données collectées et du cloud-computing, de l’informatique en nuage. »
« Il va falloir se pencher sur ce procédé qui n’est pas clair à la base », estime Paul Raoult, président de la Fédération des conseils de parents d’élèves (FCPE). « Si ces accusations sont confirmées, c’est grave. C’est tout simplement Big Brother. » « C’est d’autant plus dommage que je sais que beaucoup d’administratifs de l’éducation nationale utilisent open-office », une série de logiciels de bureautique libres. « Mais cela montre qu’il faut informer, et former. Malheureusement, on se rend compte que la technologie avance plus vite que l’éthique… » Contacté par Mediapart, le ministère de l’éducation indique de son côté qu’il va « instruire sérieusement ce dossier ».
L'UFC-Que Choisir assigne Google en justice
La révélation de cette affaire intervient alors que, en France, l' UFC-Que Choisir vient d’annoncer, ce mardi 25 mars, le dépôt d’une plainte contre Google pour des clauses qualifiées « d’abusives » et « illicites ».
Au mois de juillet 2013, l’association de défense des consommateurs avait déjà mis en demeure le géant américain de modifier ses conditions générales d’utilisation. « Après plusieurs mois de discussion, et malgré nos avertissements », écrit-elle aujourd’hui, « ils s’entêtent à maintenir des clauses problématiques de leurs conditions générales d’utilisation ».
« Résultat : les conditions sont toujours aussi inaccessibles, illisibles, remplies de liens hypertextes –entre 40 et 100 liens hypertextes- renvoyant parfois à des pages en langue anglaise », poursuit l’UFC-Que Choisir. « Pire, les réseaux persistent à s’autoriser très largement la collecte, la modification, la conservation et l’exploitation des données des utilisateurs et même de leur entourage. Ils s’octroient toujours, sans l’accord particulier des utilisateurs, une licence mondiale, illimitée et sans rémunération, d’exploitation et de communication des données personnelles ». « Face à de tels abus », elle demande « au juge français d’ordonner la suppression ou la modification de la myriade de clauses litigieuses imposées par ces sociétés ».
Prolonger : Retrouvez toutes nos informations complémentaires sur notre site complet www.mediapart.fr.
A lire aussi sur le blog de Tuxicoman : Manuganu, un bon jeu de plateforme sur Android