Google alerte l'UE, briser son monopole expose les données

Résumé

La Commission européenne prépare des règles imposant à Google d’ouvrir Gemini sur Android et de partager des données de recherche, que le groupe juge dangereuses pour la vie privée.

Les faits

La Commission européenne prépare de nouvelles règles pour Google dans le cadre de sa campagne pour mieux encadrer les grandes plateformes numériques, avec une annonce attendue le mois prochain. Selon le projet, le géant américain pourrait être obligé de « jouer plus fair-play » avec ses concurrents européens, en ouvrant certains accès et en partageant des données de recherche. Heather Adkins, vice‑présidente de l’ingénierie de sécurité chez Google, explique à Wired que les propositions de Bruxelles pourraient entraîner des problèmes sérieux de sécurité et de confidentialité. Les changements envisagés portent d’abord sur Android : les régulateurs veulent que Gemini cesse d’être le seul service d’IA intégré au système, en permettant aux utilisateurs de brancher d’autres modèles d’IA bénéficiant de privilèges comparables à ceux de Gemini. Parallèlement, la Commission souhaite que Google partage avec d’autres entreprises des données de recherche anonymisées. Adkins affirme que « si cela est mis en œuvre tel que décrit aujourd’hui, je pense que dans une courte période sur Android, nous verrions une hausse significative de la fraude dans l’UE », évoquant des événements susceptibles de survenir « en quelques semaines » après l’entrée en vigueur des changements. Sur Android, le statut privilégié de Gemini lui donne accès aux fichiers de l’utilisateur, au contenu affiché à l’écran et à des interactions vocales renforcées. L’implication est que des acteurs malveillants pourraient exploiter ces nouveaux accès pour installer des services d’IA hostiles, capables de voler des données ou de manipuler l’expérience logicielle. Les inquiétudes de Google sont encore plus détaillées concernant le partage de données anonymisées. Un projet de proposition de la Commission prévoit que Google fournisse à ses concurrents des données de recherche anonymisées similaires à celles qu’il utilise en interne, incluant notamment le contenu des requêtes, leur classement et les taux de clics. Ces informations sont au cœur du produit de recherche de Google et n’ont jamais été mises à disposition avec un tel niveau de granularité. Adkins rappelle que « l’anonymisation est difficile, et il faut les bons experts techniques autour de la table pour trouver des solutions ». Depuis des années, des travaux montrent qu’il est possible de ré‑identifier des personnes à partir de jeux de données présentés comme anonymes. Google soutient que la disponibilité élargie de modèles d’IA puissants rend plus facile que jamais la désanonymisation de grands ensembles de données. Les équipes de sécurité internes du groupe auraient ainsi été capables de relier ce type de données anonymisées de recherche à des utilisateurs individuels en seulement deux heures grâce à des « attaques par chaînage ». Des employés de Google confient à Wired que la mise à disposition de ces données à des entreprises européennes de plus petite taille, en application de la loi, les transformerait en cibles, là où Google estime être en mesure de garantir lui‑même leur protection. L’UE mène cette initiative dans le cadre du Digital Markets Act (DMA), qui qualifie Google, Meta, Amazon et d’autres grandes entreprises technologiques de « contrôleurs d’accès » soumis à une régulation spécifique. Google s’est opposé ouvertement au DMA, demandant la révision du texte. Avec plus de 90 % de parts de marché sur la recherche en ligne et des positions dominantes dans plusieurs secteurs, le groupe n’a guère d’intérêt à soutenir un renforcement de la régulation. Google met en avant ses propres techniques d’anonymisation, qu’il décrit comme protectrices de la vie privée, et qu’il applique à de nombreuses données : requêtes de recherche, données de localisation, profils publicitaires, usage des applications, entre autres. Le groupe explique qu’il peut masquer les identités en agrégeant les données de personnes partageant une caractéristique comme un code postal, en mélangeant différents types de requêtes pour dissocier celles liées à des sujets sensibles, ou encore en ajoutant du bruit aléatoire pour brouiller davantage les identités. Ces méthodes servent de base au discours récurrent de Google sur le caractère suffisamment anonyme des données qu’il partage avec des tiers de son choix. L’obligation de partager des données de recherche anonymisées avec des concurrents, telle que prévue par le projet européen, est en revanche présentée par Google comme un risque de confidentialité inacceptable. L’entreprise soutient que la nature extrêmement détaillée des données qui seraient exigées les rend particulièrement vulnérables à une désanonymisation. En cas de fuite ou de vol, il est probable qu’au moins une partie de ces informations puisse être rattachée à des individus. La Commission européenne devra trouver un équilibre, en tenant compte du fait que les intérêts économiques de Google sont clairement servis par le refus de partager ces données, alors que l’objectif politique affiché est de réduire la position de monopole de l’entreprise. Rien n’est encore décidé : la période de consultation s’est achevée le 1er mai, et la Commission travaille à la mise en œuvre des nouvelles règles. Elle prévoit de rendre sa décision finale le 27 juillet, une décision qui sera juridiquement contraignante pour Google en tant que contrôleur d’accès au sens du DMA. La forme exacte que prendront l’ouverture d’accès aux services d’IA sur Android et le partage de données de recherche anonymisées reste donc indéterminée.

Pourquoi c’est important

Le bras de fer engagé entre Google et la Commission européenne illustre un enjeu central de la régulation des grandes plateformes : comment ouvrir des marchés dominés par un acteur quasi monopolistique sans créer de nouveaux vecteurs de fuite de données personnelles ni d’attaques informatiques. Les demandes de Bruxelles touchent au cœur du modèle de Google, en l’obligeant à ouvrir l’écosystème Android à des IA concurrentes et à partager un trésor de données de recherche extrêmement détaillées. La position défensive de Google, qui présente ces mesures comme un risque majeur pour la sécurité et la confidentialité, met en lumière la fragilité réelle des mécanismes d’anonymisation sur lesquels repose une grande partie de l’économie des données. Le débat autour du DMA dépasse ainsi le simple affrontement entre un régulateur et un géant technologique : il interroge la capacité des pouvoirs publics à concilier ouverture concurrentielle, protection des utilisateurs et encadrement d’outils d’IA capables de briser les promesses d’anonymat sur lesquelles le secteur s’est longtemps appuyé.

Questions fréquentes

Que demande la Commission européenne à Google dans ce projet de règles ?

Bruxelles veut que Google ouvre l’accès à des IA concurrentes sur Android et partage des données de recherche anonymisées avec d’autres entreprises.

Pourquoi Google s’inquiète-t-il de l’ouverture de Gemini sur Android ?

Google craint qu’accorder des privilèges système à des IA tierces sur Android augmente rapidement la fraude et facilite le vol de données utilisateur.

Quel type de données de recherche anonymisées pourrait être partagé ?

Le projet vise des données proches de celles qu’utilise Google en interne : contenu des requêtes, classement des résultats et taux de clics.

Comment Google décrit-il la difficulté d’anonymiser les données ?

Heather Adkins souligne que « l’anonymisation est difficile » et qu’il faut les bons experts techniques pour concevoir des solutions robustes.

Quand la décision européenne doit-elle devenir contraignante pour Google ?

La Commission vise une décision finale le 27 juillet, qui sera juridiquement contraignante pour Google en tant que contrôleur d’accès au sens du DMA.

Source

Auteur

Rédaction spécialisée dans la veille et l'analyse de l'actualité de l'intelligence artificielle, des puces IA, des robots, des agents IA et de la recherche.