« La sécurité des données ne doit pas être compliquée. »

Depuis 2019, Google se consacre à la confidentialité et à la sécurité des données sur Internet par le biais du Centre d'ingénierie de la sécurité de Google (CISG) à Munich. Le responsable du site, Wieland Holfelder, nous parle des derniers développements au CISG, des méthodes de travail de son équipe et de la position de Munich en tant que centre d'excellence numérique.

Dʳ Holfelder, le Centre d'ingénierie de la sécurité de Google, ou CISG, a ouvert ses portes à Munich en 2019. Quel genre de travail fait-on au Centre?

Le CISG est le pôle mondial de Google dans le domaine de l'ingénierie de la confidentialité et de la sécurité. C'est ici que nous développons de nouveaux produits, déterminons les besoins des utilisateurs, échangeons nos connaissances et collaborons avec nos partenaires dans le but d'améliorer la sécurité d'Internet.

La confidentialité et la sécurité des données revêtent une grande importance en Allemagne. Dans quelle mesure cette tradition locale a-t-elle été importante pour l'établissement du Centre d'ingénierie de la sécurité de Google ici?

Très importante. Le fait que nous avons mis en place des équipes de développement pour la confidentialité et la sécurité des données au cœur de l'Europe ne relève pas du hasard. L'Allemagne reflète depuis longtemps la conception qu'ont les Européens de la confidentialité et de la sécurité en ligne. Ainsi, lorsque nous avons ouvert le bureau d'ingénierie de Google à Munich, ces équipes ont été parmi les premières à s'y installer. Après avoir passé 10 ans à faire évoluer ces équipes à Munich, nous cherchions à élargir leur portée, à nous ouvrir au dialogue, et à nous engager auprès d'utilisateurs et d'intervenants clés issus de milieux différents. C'est pourquoi il était logique de créer le CISG à Munich, une ville qui est très attentive à ces questions. Nous avons travaillé pour nous assurer que tous nos produits répondent aux exigences du Règlement général sur la protection des données (RGPD) de l'Union européenne. Cette connaissance et cette prise de conscience s'étendent à d'autres pays. En effet, la confidentialité et la sécurité des données suscitent de plus en plus d'attention à travers le monde.

Quels genres de choses faites-vous que les internautes peuvent rencontrer au quotidien?

Si vous utilisez des produits Google, vous vous êtes peut-être déjà demandé quels types de données sont utilisés à des fins de personnalisation, par exemple pour produire de meilleurs résultats de recherche. Votre compte Google vous permet de gérer vos renseignements, de même que vos paramètres de confidentialité et de sécurité, afin que Google puisse mieux répondre à vos besoins sur ses différents produits. Enfin, les outils de contrôle tels que les commandes d'activité et les paramètres des annonces vous permettent de définir les données que nous utilisons pour personnaliser votre expérience, de sorte que l'ensemble de Google puisse mieux vous servir. À cette fin, nous avons développé la vérification des paramètres de confidentialité, qui vous permet de définir rapidement vos préférences de confidentialité dans votre compte Google. Pour Chrome et Android, nous avons également développé le gestionnaire de mots de passe, un outil qui crée et enregistre automatiquement un mot de passe pour chaque site Web de même que chaque application que vous utilisez, le tout sur demande. En outre, les utilisateurs peuvent se servir de l'outil Vérification de mot de passe pour analyser leurs mots de passe afin de détecter d'éventuels problèmes de sécurité. Ils seront ainsi à même de savoir si leurs mots de passe ont été compromis dans un cas de violation de données dont nous sommes informés. Les utilisateurs reçoivent ensuite des instructions sur la manière de changer leurs mots de passe. Je suis particulièrement fier du travail réalisé par le CISG en ce qui concerne ces outils de protection des mots de passe.

Pouvez-vous expliquer pourquoi?

Le gestionnaire de mots de passe ne peut pas être trompé par les sites d'hameçonnage, et vous pouvez créer un nouveau mot de passe fort pour chaque site Web sans avoir besoin de vous en souvenir. Cela empêche les pirates informatiques de découvrir vos mots de passe, en plus de vous empêcher d'utiliser le même mot de passe sur plusieurs sites.

En quoi cela peut-il poser problème?

Supposons que je commande des fleurs pour ma femme sur un site Web et que je saisisse à la hâte un mot de passe que j'utilise également ailleurs pour mon compte client sur ce site. Si des pirates informatiques parviennent à accéder au serveur du fleuriste et à mettre la main sur ce mot de passe, ils pourront rapidement déterminer si mon compte de messagerie ou mon compte Google est également accessible avec ce même mot de passe. Mais ce n'est pas tout : ils seront en mesure de créer de nouveaux mots de passe pour d'autres comptes que j'utilise. Le gestionnaire de mots de passe protège votre sécurité en ligne en générant automatiquement des mots de passe forts et uniques pour chaque site.

Existe-t-il des mesures encore plus sûres à la disposition des utilisateurs?

Oui. Vous pouvez également utiliser l'authentification à deux facteurs si vous possédez un compte Google. Cette fonctionnalité fait en sorte que chaque fois que vous vous connectez à votre compte sur un nouvel appareil, vous devez entrer un code que nous vous transmettons par téléphone. Ainsi, même si un pirate informatique étranger parvient à voler votre mot de passe, il ne pourra pas accéder à votre compte sans ce deuxième facteur. Pour ma part, par exemple, je conserve une énorme quantité de précieuses informations en ligne sur mon compte, alors je ne pourrais plus fermer l'œil sans cette protection supplémentaire.

Comment procédez-vous exactement pour développer ce genre de nouveaux produits au CISG?

Par exemple, nous invitons des utilisateurs à notre « laboratoire de recherche sur l'expérience utilisateur » ou à participer à des entretiens en ligne, afin de découvrir comment ils utilisent Internet ou effectuent leurs recherches. Cette démarche nous permet de comprendre quels sont les outils et le type d'aide dont ils ont généralement besoin pour prendre des décisions éclairées concernant leurs préférences de confidentialité. Nous leur posons des questions telles que « pouvez-vous nous dire comment vous utilisez le navigateur Chrome avec les différents membres de votre famille? », et nous leur demandons également d'interagir avec nos produits afin de pouvoir évaluer la façon dont ils répondent à ceux-ci. Ces statistiques sont très importantes parce qu'elles nous aident à comprendre si nos informations sont bien placées, ou si l'interface et les boutons sont utiles ou non. Cette façon de faire nous permet de nous assurer que nos produits répondent bien aux besoins de nos utilisateurs. Notre philosophie est la suivante : le sentiment de sécurité sur le Web ne doit pas être réservé aux experts en sécurité.

Entre autres choses, vous travaillez actuellement à rendre les témoins tiers obsolètes. Que sont les témoins?

Les témoins font partie intégrante d'Internet depuis sa création. Il s'agit de petits fichiers que les fournisseurs de sites Web utilisent pour stocker des informations localement sur un ordinateur. Encore aujourd'hui, les témoins jouent un rôle important sur Internet. Par exemple, les témoins directs servent à vous garder connecté à un compte en ligne ou à faire fonctionner les paniers d'achats sur les sites de commerce électronique. Il existe également les témoins tiers, qui sont utilisés à des fins d'affichage d'annonces pertinentes. Les témoins tiers peuvent également enregistrer votre activité de recherche en ligne d'un produit particulier. Par exemple, un témoin peut enregistrer le fait que vous recherchez un sac à dos sur un site donné, puis vous montrer une annonce pour un sac à dos similaire sur un site différent.

Pourquoi cela fonctionne-t-il ainsi?

Internet est une plateforme ouverte et largement gratuite. Les offres de sites Web sont principalement financées par les annonces; plus les annonces sont pertinentes, plus elles profitent aux utilisateurs comme aux fournisseurs.

Les témoins tiers permettent de suivre les mouvements des utilisateurs en ligne. Vous travaillez actuellement sur des moyens de mettre fin à cette pratique à l'avenir. Est-ce exact?

Oui, nous développons actuellement le « Bac à sable de confidentialité » afin qu'à l'avenir, les annonceurs ne puissent plus identifier les utilisateurs grâce aux témoins. À travers la communauté du Web, nous avons observé une prise de conscience générale quant au fait que les témoins tiers ne répondaient pas aux attentes des utilisateurs. Ces derniers exigent une plus grande protection de la confidentialité, y compris plus de transparence, plus de choix et plus de contrôle sur l'utilisation de leurs données, et il apparaît clairement que l'écosystème du Web doit évoluer pour répondre à ces demandes. Pour mettre fin au suivi intersite, le Web doit abandonner les témoins tiers et les autres techniques discrètes telles que l'empreinte digitale du navigateur. Or, au cours des quelque 30 dernières années et plus, de nombreuses fonctionnalités essentielles du Web en sont venues à recourir à ces mêmes techniques. Nous ne voulons pas que le Web soit privé de fonctionnalités essentielles, comme celles qui permettent aux éditeurs de poursuivre la croissance de leurs activités et d'assurer la durabilité du Web, de garantir un accès universel au contenu, d'offrir les meilleures expériences aux utilisateurs sur leurs appareils individuels, de distinguer les vrais utilisateurs des robots et des fraudeurs, etc. L'objectif que nous poursuivons avec le Bac à sable de confidentialité, une initiative fondée sur les logiciels libres, est de rendre le Web plus privé et plus sûr pour les utilisateurs, tout en soutenant les éditeurs.

Comment Google s'emploie-t-elle à résoudre ce problème?

Dans le cadre de l'initiative Privacy Sandbox, nous travaillons avec la communauté du Web en vue de développer une nouvelle technologie qui préserve la confidentialité des données des utilisateurs et évite le recours à des techniques de suivi invasives, comme les empreintes digitales, tout en permettant aux sites d'afficher des annonces utiles et de financer leurs activités. Plus tôt cette année, nous avons présenté une version d'aperçu de l'API Topics, une nouvelle proposition issue de l'initiative Privacy Sandbox qui mise sur les annonces basées sur les centres d'intérêt comme solution de remplacement de FloC, et qui est fondée sur les commentaires des organismes de réglementation, des défenseurs de la vie privée et des développeurs. Cette solution permet aux annonceurs de présenter des publicités pertinentes aux utilisateurs en fonction de leurs centres d'intérêt, tels que le « sport », lesquels sont déterminés à partir des sites Web qu'ils visitent, le tout dans le respect le plus total de leur confidentialité. Les témoins ont été utilisés pour identifier les utilisateurs dans le passé, mais leur fonctionnement repose sur le principe que votre historique de navigation personnel reste dans votre navigateur ou votre appareil et qu'il n'est partagé avec personne, y compris les annonceurs. Cela signifie que les annonceurs peuvent continuer à diffuser des annonces et des contenus pertinents sans être obligés d'effectuer un suivi sur l'ensemble du Web

Nous progressons également à grands pas sur d'autres propositions pour le Pivacy Sandbox, notamment FLEDGE et les API de mesure, et nous continuons à collaborer avec l'autorité britannique de la concurrence et des marchés (Competition and Markets Authority ou CMA) pour nous assurer que nos propositions sont élaborées de telle sorte qu'elles fonctionnent pour l'ensemble de l'écosystème.

Ces dernières années, Munich est devenue un lieu de prédilection pour les entreprises en démarrage du secteur numérique et d'autres entreprises technologiques. Quelle a été votre expérience à cet égard en tant que responsable du site de Google Munich?

Munich vit des changements remarquables. Apple, Amazon et Google investissent et développent leurs activités ici, de même que d'autres excellentes entreprises comme Celonis, une entreprise licorne qui fournit des services d'analyse de données. Une plus grande proportion d'entreprises B2B ont été créées ici plutôt qu'ailleurs parce qu'il y a beaucoup d'autres entreprises technologiques très solides établies dans la région. Nous jouissons également d'excellentes universités, comme la LMU et la TUM, qui gèrent des centres d'entrepreneuriat locaux. De plus, le gouvernement de l'État de Bavière offre des niveaux de soutien incomparables dans le cadre de son plan d'action « High-Tech Agenda ». Par exemple, nous observons des investissements massifs dans l'intelligence artificielle et l'informatique quantique, ce qui est fantastique. Au-delà de sa longue tradition régionale et de son expertise en matière d'ingénierie comme de technologie, sa situation économique forte, son soutien politique favorable, ses excellents établissements d'enseignement et sa qualité de vie supérieure constituent une combinaison gagnante qui fait de Munich un site exceptionnel.

La construction des nouveaux bureaux de Google à Munich est en cours. La pandémie de coronavirus a-t-elle perturbé vos plans?

Avant la pandémie, nous passions la plupart de notre temps au bureau, qui compte bon nombre de cafés, de salles de réunion ainsi que de restaurants permettant aux employés de se rencontrer et de cocréer en personne. Bien évidemment, cette approche du travail a été considérablement bouleversée par la pandémie, et nous procédons actuellement à l'intégration de nombreux enseignements tirés de la dernière année dans la planification de notre nouveau et passionnant projet Arnulfpost.

Est-il possible de créer la même atmosphère avec le travail à distance?

Notre entreprise est née dans le nuage et a évolué dans le nuage, et nous vivons tous dans le nuage. C'est pourquoi nous essayons d'encourager le personnel à interagir en ligne lors de déjeuners-réunions ou de vidéoconférences ouvertes. Cependant, nous croyons que nous ne pourrons pas nous appuyer indéfiniment sur le capital social que nous avons constitué au fil des ans. Nous avons engagé beaucoup de personnes qui n'ont même pas encore mis les pieds dans nos bureaux. C'est donc un défi pour tous les gestionnaires de réunir tous les membres de leur équipe.

Qu'est-ce que cela implique quant à la manière dont le travail sera mené à l'avenir, en particulier au CISG à Munich?

Nous croyons profondément à l'importance de réunir les gens au travail afin de susciter la sérendipité nécessaire à l'émergence de nouvelles idées innovantes, de sorte que notre mode de travail ne sera pas entièrement virtuel. Cela dit, nous nous sommes demandé si tout le monde devait disposer d'un lieu de travail fixe. Nos équipes des ventes peuvent déjà travailler de manière flexible, et beaucoup d'outils de développement de nos ingénieurs migrent vers le nuage. À l'avenir, chaque équipe pourra décider elle-même du nombre de postes de travail flexibles et fixes qu'elle souhaite conserver. Aujourd'hui, nous explorons de nouveaux modes de travail en proposant des outils agiles d'attribution des bureaux, de même que de nouveaux espaces de collaboration qui permettent aux équipes de travailler ensemble dans une configuration plus dynamique et en fonction des préférences de chacun en matière de lieu de travail comme d'horaires.

Photos : Sima Dehgani