« La sécurité des données ne devrait pas être quelque chose de compliqué.. »

Google travaille sur la confidentialité et la sécurité des données sur Internet au Centre Google de recherche sur la sécurité (Google Safety Engineering Center, GSEC), installé à Munich depuis 2019. Le responsable du site Wieland Holfelder évoque les dernières évolutions au sein du GSEC, les méthodes de travail de son équipe et le rôle de Munich comme centre d’excellence numérique.

Dr Holfelder, le Centre Google de recherche sur la sécurité, ou GSEC, a ouvert à Munich en 2019. À quoi sert ce centre ?

GSEC est le centre global d'ingénierie en matière de confidentialité et de sécurité chez Google. C’est là que nous mettons au point de nouveaux produits, que nous identifions les besoins des utilisateurs, que nous partageons nos connaissances et que nous travaillons avec nos partenaires pour améliorer la sécurité sur Internet.

La confidentialité et la sécurité des données sont des problématiques très importantes en Europe. Quel rôle cela a-t-il joué dans la décision d’installer le Centre Google de recherche sur la sécurité en Allemagne ?

Il y a 12 ans, alors que je mettais en place le bureau de Google à Munich, j’ai rapidement réalisé que la protection des données était fondamentale pour nos utilisateurs en Allemagne. En matière de protection et de sécurité des données, la première chose que nous avons faite a été de créer des équipes de développement dédiées. Après avoir passé dix ans à faire évoluer ces équipes à Munich, nous avons souhaité élargir leur envergure et développer la collaboration. C’est pourquoi il était logique d’installer GSEC à Munich, un site très axé sur ces questions. Nous avons veillé à ce que tous nos produits respectent les exigences du Règlement général sur la protection des données de l’UE (RGPD). Ces connaissances et ces notions s'étendent à d’autres pays. D’ailleurs, la confidentialité et la sécurité des données font l'objet d'une attention croissante dans le monde.

Quels sont les types d’actions que vous menez et avec lesquelles les internautes peuvent interagir au quotidien ?

Si vous utilisez des produits Google, vous vous êtes peut-être déjà posé la question du type de données utilisé pour la personnalisation et pour générer de meilleurs résultats de recherche, par exemple. Le compte Google vous offre une vue d’ensemble des données d’activité qui sont utilisées pour ces informations personnelles. Vous pouvez également configurer votre compte Google afin de décider si vous voulez ou non poursuivre cette collecte de données. C’est dans ce but que nous avons conçu le Check-up Confidentialité, qui vous permet de définir rapidement vos préférences en matière de confidentialité pour votre compte Google. Pour Chrome et Android, nous avons créé le Gestionnaire de mots de passe, qui génère et stocke automatiquement, à la demande, un mot de passe pour chaque site Internet et application que vous utilisez. Les utilisateurs peuvent également avoir recours au Check-up Mots de passe pour analyser leurs mots de passe et identifier des problèmes de sécurité. En quelques secondes, ils peuvent savoir si leurs mots de passe ont été concernés par un vol de données et ils reçoivent des instructions sur la façon de modifier ces mots de passe. Je suis particulièrement fier du travail mené au GSEC sur ces outils de protection des mots de passe.

Pouvez-vous nous expliquer pourquoi ?

Les sites d’hameçonnage ne peuvent pas piéger le Gestionnaire de mots de passe et vous pouvez créer un mot de passe inédit et robuste pour chaque site Internet sans avoir à vous en souvenir par vous-même. Ainsi, les hackers ne peuvent pas trouver les mots de passe et vous n’avez pas à utiliser le même mot de passe sur plusieurs sites différents.

Pourquoi cela poserait-il un problème ?

Imaginons que je commande des fleurs pour mon épouse sur un site Internet et que je choisisse rapidement pour mon compte client un mot de passe que j’utilise également sur un autre site. Si des pirates parviennent à accéder au serveur du fleuriste et obtiennent ce mot de passe, ils pourront très vite savoir s’ils peuvent accéder à mon adresse e-mail ou mon compte Google avec le même mot de passe. Ils pourront en outre créer de nouveaux mots de passe pour d’autres comptes que j’utilise. Le Gestionnaire de mots de passe vous permet d’assurer votre sécurité en ligne en générant automatiquement des mots de passe robustes et uniques pour chaque site.

"####Est-ce qu'il existe des solutions pour encore davantage de sécurité ? Oui, vous pouvez également utiliser la validation en deux étapes si vous disposez d’un compte Google. De cette façon, chaque fois que vous vous connectez à votre compte sur un nouveau dispositif, vous devez utiliser un code que nous enverrons sur votre téléphone.

Comment exactement mettez-vous au point ces nouveaux produits au sein de GSEC ?

Nous invitons par exemple des personnes à venir à nos « Ateliers de recherche sur l’expérience utilisateur » ou à participer à des entretiens en ligne, qui nous permettent d’en savoir plus sur leur façon d’utiliser Internet ou d’effectuer leurs recherches. Nous pouvons ainsi mieux comprendre les outils et l’aide dont elles ont généralement besoin pour prendre des décisions éclairées sur leurs préférences en matière de confidentialité. Nous leur posons des questions comme : « Pouvez-vous nous dire comment vous utilisez le navigateur Chrome avec les différents membres de votre famille ? » et nous leur demandons d’interagir avec nos produits afin de pouvoir évaluer leur réponse. Ces informations sont capitales, car elles nous aident à comprendre si nos informations sont correctement positionnées ou si l’interface et les boutons sont utiles ou non. Nous pouvons ainsi veiller à ce que nos produits correspondent aux besoins de nos utilisateurs. Notre philosophie est la suivante : il n’est pas nécessaire d’être un expert de la sécurité pour se sentir protégé sur Internet. Notre travail continuera à l’avenir de s’appuyer sur ces conditions, et sur le fait que les besoins sont très différents dans ce contexte.

Actuellement, vous travaillez entre autres pour rendre obsolètes les cookies tiers. Pouvez-vous expliquer ce que sont les cookies ?

Les cookies existent depuis aussi longtemps qu’Internet. Il s’agit de petits fichiers que les éditeurs de sites Internet utilisent pour stocker des informations localement sur un ordinateur. Les cookies jouent encore un rôle important sur Internet. Par exemple, les cookies internes servent à maintenir votre connexion sur un compte en ligne ou à utiliser le panier d’achats sur un site de commerce en ligne. Il y a également les cookies tiers. Ceux-là permettent d’afficher des publicités pertinentes. Les cookies tiers peuvent également enregistrer que vous avez recherché un produit particulier en ligne. Un cookie peut donc être utilisé pour noter que vous recherchez un sac à dos sur un site et pour vous montrer ensuite une publicité sur un sac à dos comparable d’un autre site.

Et pourquoi cela ?

Internet est une plateforme ouverte et essentiellement gratuite. L’offre des sites Internet est principalement financée par la publicité et, plus les publicités sont pertinentes, plus elles sont efficaces pour les utilisateurs et les fournisseurs.

Les cookies tiers permettent de suivre la navigation en ligne des utilisateurs. Vous travaillez actuellement sur des moyens pour mettre un terme à cela à l’avenir, n’est-ce pas ?

Oui, en ce moment, nous mettons au point la « Privacy Sandbox » pour qu’à l’avenir, les annonceurs ne soient plus en mesure d’identifier un utilisateur à partir de ses cookies. De plus en plus d’acteurs du web se rendent compte que les cookies tiers ne répondent pas à leurs attentes. Les utilisateurs exigent davantage de confidentialité – y compris la transparence, le choix et le contrôle de l’utilisation qui est faite de leurs données – et il est évident que l’écosystème du web doit évoluer pour satisfaire ces exigences. Pour mettre fin à la surveillance d’un site à l’autre, le web doit tourner le dos aux cookies tiers ainsi qu’à d’autres techniques cachées comme les empreintes de navigateur. Cela dit, en plus de 30 ans, de nombreuses fonctions de bases du web ont commencé à s’appuyer sur ces mêmes techniques. Nous ne voulons pas que le web perde ces possibilités essentielles, comme celle de permettre aux éditeurs d’étendre leur activité et de préserver la durabilité du web en assurant l’accès universel aux contenus, en offrant les meilleures expériences aux personnes sur leurs apprareils personnels et en distinguant les véritables utilisateurs des bots, des fraudeurs ou autres. Avec l’initiative en code source ouvert Privacy Sandbox, notre objectif est de rendre le web plus confidentiel et plus sûr pour les utilisateurs, tout en soutenant également les éditeurs."

Comment Google résout-il ce problème ?

Dans le cadre de l’initiative Privacy Sandbox, nous collaborons avec les acteurs du web pour définir des normes qui amélioreront fondamentalement la confidentialité des données en ligne et éviteront les futures techniques de suivi invasives comme le fingerprinting. Et cela en donnant aux sites la possibilité de proposer des publicités utiles et de financer leur activité. En début d'année, nous avons eu un aperçu de l'API Topics, une nouvelle offre de la Privacy Sandbox en matière de publicité ciblée par centre d'intérêt qui remplace le FLoC et s'appuie sur les retours des régulateurs, de défenseurs de la vie privée et de développeurs. Cette API permet aux annonceurs de montrer des publicités pertinentes aux personnes en fonction de leurs intérêts, le ""sport"" par exemple, à partir des sites Internet qu'ils visitent et ce, dans le respect de la confidentialité la plus stricte possible pour les utilisateurs. Auparavant, les cookies servaient à identifier les utilisateurs, mais l'idée à l'origine de Topics est que votre historique personnel de navigation reste dans votre navigateur ou sur votre appareil et n'est partagé avec personne, pas même les annonceurs. Cela signifie que ceux-ci peuvent continuer de montrer des publicités pertinentes, sans avoir besoin de vous suivre sur le web.

Nous avons également accompli de formidables progrès sur d'autres propositions pour la Privacy Sandbox, notamment les API FLEDGE et de mesures. Nous poursuivons aussi notre collaboration avec l'Autorité de la concurrence et des marchés britannique (CMA) pour veiller à concevoir nos propositions d'une façon qui fonctionne pour l'ensemble de l'écosystème.

Ces dernières années, Munich est devenue une ville de choix pour les start-up du numérique et autres entreprises technologiques. Comment avez-vous vécu cela en tant que responsable de site de Google à Munich ?

Munich connaît une période de changements formidables. Apple, Amazon et Google y investissent et y étendent tous leurs activités, tout comme d’autres sociétés fantastiques, à l’image de Celonis, une licorne qui propose des services d’analyse de données. Un plus grand nombre de sociétés tournées vers le marché B2B se sont installées ici qu’ailleurs parce qu’il y a de nombreuses autres entreprises technologiques dans la région. Nous disposons également d’excellentes universités, comme la LMU et la TUM, qui exploitent des centres locaux pour l’entrepreneuriat. De plus, le gouvernement du Land de Bavière offre un niveau inégalé de soutien grâce à son plan d’action « Agenda de la haute technologie ». Nous observons par exemple que d’importants investissements sont réalisés dans l’intelligence artificielle et l’informatique quantique, ce qui est formidable. En plus d’une longue tradition et d’un important savoir-faire dans la région en matière d’ingénierie et de technologie, la solidité économique, le fort soutien politique, les excellentes institutions éducatives et la très bonne qualité de vie à Munich sont autant de critères qui en font un lieu idéal.

Les nouveaux bureaux de Google à Munich sont actuellement en construction. La pandémie de coronavirus a-t-elle modifié vos plans ?

Avant la pandémie, nous passions la majeure partie de notre temps au bureau et nous y trouvions un grand nombre de cafés, de salles de réunions et de restaurants pour que les employés s’y rencontrent et partagent en face à face leurs processus créatifs. Bien évidemment, cette façon de travailler a fortement changé pendant la pandémie et nous allons tenir compte des leçons tirées de l’année écoulée dans la phase de préparation de notre nouveau et formidable projet d’Arnulfpost.

Est-il possible de retrouver la même atmosphère avec le télétravail ?

Notre entreprise est née dans le Cloud et elle a évolué dans le Cloud. C’est pourquoi nous essayons d’encourager nos collaborateurs à interagir en ligne à l’occasion de réunions autour du petit déjeuner ou de visioconférences ouvertes. Malgré tout, nous ne pensons pas pouvoir exploiter éternellement le capital social que nous avons construit au fil des ans. Nous avons recruté un grand nombre de personnes qui n’ont toujours pas franchi la porte de nos bureaux. Cela complique la tâche de tous les managers qui doivent intégrer chacune d’entre elles.

Quelles sont les conséquences sur les futures méthodes de travail, en particulier au sein de GSEC à Munich ?

Nous sommes convaincus qu’il est essentiel de réunir les personnes sur leur lieu de travail pour créer les conditions nécessaires à l’émergence de nouvelles idées innovantes. Nous ne passerons donc pas au tout virtuel. Nous nous sommes tout de même posé la question de la nécessité pour chacun d’avoir un poste de travail fixe. Nos équipes commerciales peuvent déjà travailler de façon flexible. Une grande partie des outils de développement de nos ingénieurs sont transférés dans le Cloud. À l’avenir, chaque équipe pourra décider seule du nombre de postes de travail flexibles et fixes qu’elle souhaite conserver. Ainsi, peut-être qu’au lieu de bureaux fixes, nous aurons plutôt besoin d’espaces plus créatifs pour la réflexion, équipés de caméras, de projecteurs et de tableaux numériques.

Photographies : Sima Dehgani