En mai dernier, Google a lancé un nouveau système qui permet au géant de la publicité en ligne de faire correspondre les activités des internautes en ligne aux achats qu’ils effectuent dans des magasins physiques. Le système appelé Store Sales Measurement permet en effet à Google de savoir par exemple si après avoir consulté une publicité en ligne, l’internaute est allé faire un achat dans un magasin physique. L’objectif est de mesurer efficacement l’impact et le résultat des campagnes publicitaires sur les ventes réalisées par les annonceurs. C’est donc une grande innovation pour les annonceurs, mais ce système inspire de nombreuses craintes aux défenseurs de la vie privée, pour différentes raisons.Pour alimenter son système, Google collecte en effet une quantité énorme d’informations sur les internautes, y compris des informations de cartes de crédit et autres données financières acquises auprès de certains partenaires. Google fait correspondre ces enregistrements aux activités des internautes, y compris les recherches de produits et les recherches de lieux. Selon le géant de la recherche en ligne, il peut ainsi capturer environ 70 % de toutes les transactions par cartes de crédit et de débit aux États-Unis ; ce qui a attiré l’attention de l’Electronic Privacy Information Center (EPIC), un groupe de défense de la vie privée aux États-Unis.
L’EPIC a saisi la Federal Trade Commission (FTC) pour demander à l'agence d’ouvrir une enquête sur le système qui permet à Google de suivre les internautes dans les magasins, afin de déterminer si celui-ci protège de manière adéquate la vie privée de millions de consommateurs américains. L’EPIC veut que Google soit plus transparent sur les données sur les achats par cartes de crédit et de débit auxquelles il a accès, sur la manière dont il reçoit les informations des internautes et sur le chiffrement utilisé pour s'assurer que les données utilisateur restent anonymes.
« Google affirme qu'il peut préserver la confidentialité des consommateurs tout en faisant correspondre les impressions publicitaires aux achats dans les magasins, mais Google refuse de révéler ou d'autoriser des tests indépendamment de la technique qui rendrait cela possible », explique l’EPIC. « La vie privée de millions de consommateurs dépend donc d'un algorithme secret et propriétaire. »
L’EPIC explique que parce que l'algorithme que Google utilise est secret, il n'existe aucun moyen de savoir si la fonctionnalité d'anonymisation de Google (pour masquer les noms, les numéros de carte de crédit, l'emplacement et autres données potentiellement privées) fonctionne comme elle le devrait. Si Google a refusé de donner plus de détails sur la manière dont les données des internautes sont protégées, la firme de Mountain View a toutefois affirmé que son système est basé sur CryptDB, un système de base de données qui peut traiter des requêtes sur des données chiffrées.
Mais l'EPIC n'est pas vraiment convaincue que, même avec un tel système, les consommateurs sont protégés de toute violation de données qui pourrait avoir des conséquences graves. L'EPIC fonde sa crainte sur un piratage d'une base de données CryptDB en 2015. « L'algorithme fondamental sur lequel l'algorithme de Google est basé a eu des défauts de sécurité », a déclaré le défenseur de la vie privée. « En 2015, des chercheurs ont pu pirater une base de données protégée CryptDB qui contenait des informations médicales et ont accédé à plus de 50 % (parfois 100 %) des données sensibles de chaque patient », dit-il. L’EPIC demande donc à la FTC d’examiner elle-même l’algorithme que Google utilise pour garantir la confidentialité des consommateurs.
L’EPIC demande aussi plus de transparence sur la manière dont les données de cartes de crédit sont collectées, estimant qu’actuellement les consommateurs ne peuvent pas prendre une décision éclairée sur les cartes à utiliser et les magasins à éviter s'ils ne veulent pas que leurs achats soient tracés. Le groupe de défense de la vie privée estime également que les consommateurs ne peuvent pas facilement empêcher Google de suivre leurs comportements d’achats dans les magasins physiques. D’une part, parce que la procédure est ignorée par la plupart d’entre eux, et d’autre part, parce qu’elle est « pénible et trompeuse ».
En somme, l’EPIC dénonce « la dépendance de Google à l'égard d'un algorithme secret et exclusif pour assurer la confidentialité des consommateurs, la collecte par Google d'un nombre massif d'enregistrements de carte de crédit par le biais de "partenariats tiers" non identifiés et l'utilisation par Google d'un mécanisme opaque et trompeur de "désactivation [de la fonctionnalité]". » D’après le groupe, tout cela témoigne de « pratiques commerciales injustes et trompeuses », raison pour laquelle il saisit la FTC qui a vocation à mener des enquêtes dans ce genre de situation et délivrer une injonction si des violations sont constatées.
Sources : Plainte de l’EPIC, Communiqué EPIC
Et vous ?
Qu’en pensez-vous ? 
