Le paravent
Depuis sa sortie début juillet en Australie, en Nouvelle-Zélande et aux États-Unis, Pokémon Go est un phénomène planétaire qui ne cesse de s’amplifier à mesure qu’il trouve le chemin des apps stores d’autres pays. Tout le monde en parle et il semble inutile de présenter à nouveau le jeu mobile co-développé par Niantic Labs et The Pokemon Company. Rappelons toutefois qu’il s’agit d’un jeu en réalité augmentée gratuit, auquel on s’inscrit via son compte Gmail et dont le principe repose sur votre localisation en temps réel grâce à la fonction GPS de Google Maps. Ça a son importance pour la suite. Niantic Labs – Niantic pour les intimes – est souvent présentée comme une ancienne filiale de Google, ce qui n’est pas tout à fait vrai. Lancée en 2010 comme une start-up interne de la compagnie de Sergey Brin et Larry Page, son fondateur John Hanke était déjà réputé pour avoir créé Google Earth et passé plusieurs années à la tête de la division « Geo » de Google, qui comprend notamment Google Maps et Street View. Niantic s’est « détachée » du géant américain en octobre 2015 lors de sa restructuration. Aujourd’hui, Google a mué en conglomérat de sociétés sous le nom d’Alphabet. La holding comprend notamment Google Inc. (le moteur de recherche et ses filiales web comme YouTube et Gmail), Niantic Labs ou encore Sidewalk Labs. Niantic est donc toujours à proprement parler une filiale de Google/Alphabet. Deux semaines après son lancement, Pokémon Go avait déjà engrangé la somme impressionnante de 35 millions de dollars après 30 millions de téléchargements dans le monde entier, selon le site VentureBeat. Les utilisateurs d’iPhone aux États-Unis dépensent à eux seuls près d’1,6 millions de dollars par jour dans le jeu. Car oui, l’application est gratuite, mais le jeu contient une boutique permettant d’acquérir de la monnaie virtuelle à dépenser in-game en l’échange de vrai argent. Le modèle classique du free-to-play. L’histoire pourrait s’arrêter là mais non, car le véritable modèle est tout autre. Google a l’habitude de la gratuité. Une bonne partie du business model du géant de la Silicon Valley repose sur un adage bien connu des internautes : « Quand c’est gratuit, c’est vous le produit. » Une large part de l’activité de Google se résume ainsi à collecter, stocker et revendre les données de ses utilisateurs à des publicitaires. Le volume de ces données et leur précision permet aux annonceurs de vous cibler de plus en plus efficacement avec leurs pubs lors de la navigation. Grâce à Google.
Information technique
« L’année dernière, Google a réalisé 68 milliards d’euros de bénéfices en amassant les données comportementales des utilisateurs pour créer des publicités ciblés. Ils ont été condamnés plusieurs fois pour violation des normes sur la protection de la vie privée aux États-Unis et en Europe », écrit Nick Pinto, auteur d’une enquête publiée cette semaine dans Ulyces. Le journaliste new-yorkais révèle un scandale qui concerne une autre filiale de Google/Alphabet mentionnée plus haut, Sidewalk Labs. L’entreprise est derrière la conception du réseau LinkNYC, qui supplante les cabines téléphoniques pour offrir aux New-Yorkais un accès gratuit à un WiFi ultra-performant. Les bornes leur permettent de naviguer sur Internet et passer des appels. Dans un accès de générosité, CityBridge>Sidewalk Labs>Alphabet>Google a mis la main à la pâte et l’affaire n’a pas coûté un centime à la ville et à ses habitants. Comment comptent-ils donc rentrer dans leurs frais ? Le journaliste a découvert en examinant attentivement la politique de confidentialité et les conditions d’utilisation du réseau LinkNYC qu’il laissait la porte grande ouverte à une revente massive des données personnelles de tous les utilisateurs connectés au réseau Link à des publicitaires. Publicitaires qui paieront des ponts d’or à la firme pour pouvoir profiter de ce précieux savoir et balancer leurs pubs sous le nez des utilisateurs au moment propice. Nick Pinto poursuit : « La politique de confidentialité autorise CityBridge à collecter un vaste éventail d’informations sur les utilisateurs, et notamment des identifiants uniques comme les adresses IP et MAC. À cela s’ajoutent des informations sur les sites qu’ils visitent, ce qu’ils scrollent et cliquent sur ces sites, le temps qu’ils y passent et ce qu’ils recherchent. La politique de confidentialité range tout cela dans la catégorie “Information technique”, catégorie que CityBridge distingue des “Renseignements personnels” qui, d’après la politique de confidentialité, n’incluent que “votre nom ou adresse email”. »
Les données de journal
Nous avons examiné la politique de confidentialité de Pokémon Go pour voir s’il en allait de même qu’avec le réseau LinkNYC. Ce qui est sûr, c’est que Niantic/Google prend nettement moins de précautions à ce sujet. Chaque fois qu’un utilisateur se connecte sur Pokémon Go, son comportement est enregistré directement via Google Maps, qui connaît exactement son emplacement et ses déplacements. L’application récolte ses « données à caractère personnel » (adresses électroniques, nom d’utilisateur) ainsi que des « données de journal ». Cette appellation vague est la plus à craindre : elle regroupe l’adresse IP, le système d’exploitation, le navigateur, la page web consultée avant d’accéder à l’application, le temps passé sur ces pages, les termes de recherche, les liens des services de l’application sur lesquels a cliqué l’utilisateur « et d’autres statistiques ». En bref, des données précieuses pour les annonceurs et précisément celles que Google a l’habitude de revendre. Cette catégorie imprécise leur permettra probablement de s’abriter en cas de scandale. Niantic profite aussi des « cookies » et autres « pixels invisibles » pour s’informer sur les utilisateurs. Grâce aux « cookies de session », l’application reçoit des données concernant la manière et la période durant lesquelles les utilisateurs interagissent avec Pokémon Go. Ils disparaissent à chaque déconnexion, tandis que les « cookies persistants » restent sur les appareils et envoient des informations générales sur l’utilisation que vous en faites. Certains prestataires de services tiers engagés par l’application (y compris des annonceurs tiers) seront autorisés à placer leurs propres cookies sur votre disque dur. Ces pixels invisibles ou « balises web » permettent de récupérer et de communiquer les informations obtenues par les cookies, de suivre la performance des services de l’application, le nombre de visiteurs et de mesurer l’efficacité d’une publicité. Il est permis d’imaginer que les bénéfices générés par les achats in-app de Pokémon Go ne seront qu’un amuse-bouche pour la firme, qui a déjà annoncé publiquement son intention d’intégrer de la publicité au jeu. Les Pokéstops (des points fixes qui permettent au joueur d’obtenir gratuitement des objets pour l’aider dans sa quête) et les arènes de combat sont pour l’instant des points d’intérêt réels des villes : gares, monuments, bâtiments publics… Mais bientôt, des annonceurs pourront payer pour diriger les joueurs vers leur point de vente le plus proche. Une démarche qui promet de générer d’importants revenus sans que le joueur soit à priori dérangé par son aspect publicitaire. McDonald’s ferait partie des premiers annonceurs prêts à payer pour que ses restaurants deviennent des Pokéstops. Rien de plus facile que de désagréger les données et d’identifier l’utilisateur d’après l’enquête de Nick Pinto Après étude de leur politique de confidentialité, on craint malgré tout que cette annonce soit le paravent qui masque ce qui sera peut-être bientôt, sans que vous vous en doutiez, le premier attrait de Pokémon Go pour ses créateurs : la revente massive de vos données comportementales et privées. Les termes définis, en tout cas, laisse le champ libre aux dérives habituelles. Et pendant qu’ils s’affaireront dans le coffre-fort de vos données personnelles, ils laisseront la voiture tourner devant la banque, prêts à dégainer l’excuse des « données de journal » si la police débarque. Car le produit, c’est pas Pikachu, c’est vous. Sources : Ulyces, VentureBeat, Wikipedia Valentine Lebœuf et Nicolas Prouillac L’enquête de Nick Pinto va vous flanquer la trouille.