Google Buzz est un service de réseau social prenant la forme du micro-blogging à l’image de Twitter ou Facebook. Ce nouveau service Google permet de partager des messages courts en y intégrant facilement photos, vidéos, liens, informations de géolocalisation et d’importer des données depuis Picasa, Google Reader, Flickr, Twitter, Blogger, YouTube. Intégré à toutes les messageries Gmail, Google Buzz a suscité de vives réactions dès son lancement le 9 février 2010.
En effet, à peine lancé, ce web social de Google a suscité une levée de boucliers à propos de la confidentialité des données personnelles et du consentement des utilisateurs. A l’origine, Google Buzz convertissait des contacts de messagerie Gmail en contacts de réseau (followers) sans demander l’autorisation aux utilisateurs : les personnes avec lesquelles vous correspondiez le plus étaient automatiquement insérées dans votre réseau, en fonction de l’historique des e-mails et des conversations instantanées. Par défaut les personnes que vous suiviez et ceux qui vous suivaient étaient communiquées automatiquement à quiconque consultait votre profil. De nombreuses voix se sont élevées pour déplorer le fait que n’importe quel utilisateur du service était en mesure de consulter le carnet d’adresses d’un autre utilisateur sans son autorisation (les listes de contacts qu’ils suivent et ceux qui les suivent), mais aussi pour se plaindre du peu de contrôle sur les personnes qui vous suivent (possibilité de bloquer un utilisateur qui souhaite vous suivre).
Face à la polémique, Google ne tarde pas à réagir dès le 11 février, sur le Gmail Blog (Millions of Buzz users, and improvements based on your feedback) : Todd Jackson, Product Manager pour Gmail et Google Buzz, souligne qu’il est possible de créer un profil public limité permettant de contrôler l’affichage des contacts. Mais les feedback ont fait remarquer que la case permettant de sélectionner les personnes ayant accès à ces informations, était difficile à trouver. Todd Jackson annonce que Google s’engage à clarifier les conditions d’utilisation du service et que la firme a rendu plus visible l’option permettant de ne pas montrer ses followers et les personnes suivies sur son profil public et de filtrer l’accès aux informations partagées. En outre, il est désormais possible de bloquer toute personne souhaitant vous suivre alors que précédemment on ne pouvait bloquer que celles qui avaient un profil public. Les modifications instaurent plus de clarté quant au statut des profils (public/privé).
Dans une nouvelle contribution du 13 février (A new Buzz start-up experience based on your feedback), Todd Jackson précise les modifications qui seront apportées « over the next few days ». Le suivi des contacts sur Gmail ne sera plus automatique (auto-following) au profit d’une suggestion de contacts ("auto-suggest model") : l’utilisateur doit sélectionner lui-même ses contacts ("Follow selected people and start using Buzz"). De plus, Google Buzz n’est plus connecté aux albums publics Picasa et à Google Reader. Enfin, depuis les paramètres de Gmail (Gmail Settings), il était déjà possible de désactiver Google Buzz de l’interface du webmail ("hide Buzz from Gmail or disable it completely") mais un lien depuis la page d’accueil doit davantage mettre en évidence cette possibilité.
On remarque qu’en modifiant les paramètres de confidentialité, Google réagit vite, mais le 17 février, l’Electronic Privacy Information Center, association américaine de défense de la vie privée, porte plainte contre Google auprès de la Federal Trade Commission (Commission fédérale américaine du Commerce) : "Nous demandons expressément à la FTC qu’elle oblige Google à adopter une procédure d’opt-in complète sur Google Buzz, de cesser l’exploitation des contacts privés des utilisateurs de Gmail pour alimenter son réseau social et de permettre à ses membres de disposer d’un contrôle important sur ses données personnelles", explique l’EPIC dans son dépôt de plainte. Le lancement de Google Buzz est assimilé à une violation de la loi fédérale sur la protection des consommateurs et l’on exige que l’utilisateur puisse donner son consentement explicite avant toute exploitation de ses données personnelles, par opposition à la constitution automatique d’un réseau lors d’une première utilisation du service.
Le 6 avril, dans un nouveau post (Confirm your Buzz settings), Todd Jackson confirme les règles de paramétrage de la confidentialité et la volonté de Google de réduire la propagation non maîtrisée d’informations personnelles. Il incite les premiers utilisateurs (notamment ceux qui furent connectés à Buzz avant les modifications apportées) à valider les paramètres de confidentialité et délimiter l’étendue des données qu’il veut publier sur une page de confirmation qui s’affichera au prochain clic sur l’onglet Buzz. L’utilisateur peut définir à tout moment quels sont les contacts qui pourront suivre ou non les discussions, déterminer quelles listes sont rendues publiques et gérer l’interopérabilité (Picasa, Twitter…).
Mais "l’affaire du lancement de Google Buzz" n’est toujours pas digérée. Le 20 avril à Washington, un sommet de l'International Association of Privacy Professionals a regroupé les autorités de protection des données de différents pays, dont la Cnil pour la France. Les commissaires à la vie privée de 10 pays ont dévoilé leur courrier à Google daté du 19 avril, dans lequel ils reviennent sur les problèmes et la polémique suscités par le lancement de Buzz en soulignant le fait que les modifications apportées afin de répondre aux plaintes des utilisateurs, ne règlent pas tout. Ils s’inquiètent "de voir que trop souvent, le droit à la vie privée des citoyens du monde est laissé de côté" et disent avoir été "troublés" par le lancement de Google Buzz, "qui a été fait dans le mépris des normes et des lois fondamentales en matière de protection de la vie privée", en rappelant que "ce n’était la première fois que [Google] omettait de tenir compte du respect de la vie privée en lançant de nouveaux services".
Selon eux, "attribuer automatiquement aux utilisateurs un réseau d' "amis" constitué des personnes avec lesquelles ils communiquent le plus fréquemment va à l’encontre du principe fondamental selon lequel les personnes doivent pouvoir contrôler l’utilisation faite de leurs renseignements personnels. Les utilisateurs ont immédiatement reconnu une menace à leur vie privée et à la sécurité de leurs renseignements personnels, et ont été, à juste titre, outrés. À votre décharge, Google leur a présenté ses excuses et a agi rapidement pour remédier à la situation".
Malgré les ajustements rapides effectués par Google, les rédacteurs de la lettre continuent "d’entretenir des préoccupations très sérieuses à l’idée qu’un produit ayant une si grande incidence sur la vie privée de ses utilisateurs ait pu être lancé au départ. (…) Il est inacceptable de lancer un produit qui rende publics des renseignements personnels sans l’accord des intéressés, avec l’intention de régler par la suite les problèmes susceptibles de se poser. La protection de la vie privée ne doit pas être reléguée au second plan dans l’empressement de proposer de nouvelles technologies en ligne aux utilisateurs du monde entier".
Ils demandent donc à Google, "comme à toutes les organisations qui détiennent des renseignements personnels", de recueillir seulement les renseignements personnels strictement nécessaires, de mettre en évidence les informations sur l’utilisation prévue des renseignements personnels, de mettre en place des paramètres par défaut qui protègent la vie privée des utilisateurs, d’inclure des procédures claires pour obtenir le consentement des utilisateurs, de veiller à ce que les paramètres de contrôle de la vie privée soient bien visibles et faciles à utiliser, d’offrir aux utilisateurs des procédures simples pour la suppression de leurs comptes.
Comme Facebook, Google Buzz n’en finit pas de se heurter aux réclamations liées à la gestion des données personnelles et au consentement des utilisateurs. Les nombreuses plaintes révèlent que les options permettant de paramétrer les niveaux d’exposition des données devraient être beaucoup plus claires et plus visibles, à la manière de la "démarche" opt-in qui, dans le domaine de l’email, autorise l’utilisation d’adresses pour d’autres envois : avec l’opt-in actif, l’utilisateur est dans une démarche volontaire, son consentement est explicite (il doit par exemple cocher une case ou pour que son adresse ou d'autres données soient utilisées ultérieurement à des fins commerciales), contrairement à l’opt-out, cas dans lesquels on considère l'accord de l'internaute comme acquis par défaut, implicite, comme dans les configurations par défaut de Google Buzz ou encore Facebook, où les paramètres de confidentialité par défaut ont pu être jugés peu explicites et ainsi réserver parfois de mauvaises surprises aux novices.
Lire en anglais
