Quel compte est associé à quelle identité? Des messages d'erreur qui en disent plus qu'ils ne devraient


Une surprenante modification attendait cette semaine les utilisateurs possédant un compte sur la célèbre plateforme de consultation de vidéos en ligne. En effet, Google, qui en est l'actuel propriétaire, contraint désormais ses utilisateurs à migrer leur compte Youtube vers leur compte Google.

D'un point de vue strictement fonctionnel, cette décision n'est pas insupportable vu que le changement revient, pour l'utilisateur peu attentif, à simplement renseigner une adresse email (machin.truc@gmail.com) au lieu du traditionnel nom d'utilisateur Youtube (warrior_gros_penis75) lorsque l'il se connecte sur la plateforme.

Toutefois, d'un point de vue de la sécurité des données personnelles, il se passe tout autre chose que Google s'est bien gardé d'indiquer clairement à l'utilisateur lorsque l'association des comptes est terminée.

GMail et Youtube: tous les oeufs dans le même panier!

Après avoir complété l'enregistrement du compte Google (et consulté cette fameuse vidéo), j'ai basculé mon navigateur sur la page de ma messagerie électronique. C'est là que j'ai constaté que mon compte était vide: plus de messages, plus de contacts, toutes les archives disparues!

Après les quelques nanosecondes nécessaires pour reprendre mon souffle, j'ai observé l'indicateur du compte situé en haut à droite de la fenêtre: je suis désormais authentifié dans la messagerie sous l'identité de mon compte Youtube!

Que s'est-il donc passé?

Lorsqu'il m'a été demandé d'associer mon compte Youtube à un compte GMail, j'ai renseigné un compte que j'avais créé quelques mois auparavant pour des raisons que je ne détaillerai pas ici. Je n'utilise pas ce compte au quotidien, et je ne voyais donc pas d'inconvénient particulier à ce que les données de ce compte Youtube soient associées à cette adresse email.

Le problème est que l'implémentation technique de cette fonctionnalité a un effet de bord particulier sur les navigateurs web: l'authentification dans Youtube déclenche un basculement de toutes les applications Google ouvertes dans les autres fenêtres vers le compte Youtube. Ceci inclut en particulier, le service de messagerie électronique, GMail.

En Français, cela veut dire que lorsque l'internaute consulte Youtube en tant que "machin.truc@gmail.com", il lui est désormais impossible de consulter sa messagerie Google sous l'identité "machin.chose@gmail.com".

Une association entre deux bases de données de nature indépendante

Mais de quelles données parle-t-on au fait?

Du côté de Youtube, sont inclus, entre autres: l'historique de la consultation de vidéos, les termes de recherche, les commentaires rédigés ou appréciés, les vidéos marquées en favori, les listes de vidéos, les vidéos "publiées" à titre anonyme, les vidéos consultées à l'intérieur d'autres sites web (incrustations).

Du côté de GMail, nous avons au moins la liste de contacts, le contenu et les thématiques de la messagerie, l'agenda ainsi que les éléments statistiques à caractère social de mon compte (qui sont mes contacts fréquents, qui est tutoyé, qui est vouvoyé, etc.).

Chacune des interactions et bien entendu agrémentée des informations de géolocalisation, collectées non seulement grâce à l'adresse IP d'où provient la connexion mais aussi, comme nous le verrons prochainement, grâce à une base de données contenant les signatures des routeurs réseau près desquels une voiture de Streetview s'est approchée une fois ou l'autre.

La motivation principale de ma démarche n'était donc pas de conserver l'anonymat mais bel et bien de conserver une distinction claire entre les données créées via mon identité Youtube et celles de mon identité GMail.

En associant les deux bases de données représentant respectivement les deux identités, l'utilisateur donne ainsi le droit à Google de mettre en relation un ensemble de données censées ne pas être liées. Pardon. Je reformule la fin de la phrase: " mettre en relation un ensemble de données censées ne pas être liées, pour d'autres raisons que l'amélioration des connaissances requises pour afficher des publicités contextuelles mieux ciblées sur ma personnalité." Ca au moins, c'est dit.

L'utilisateur un peu obstiné (comme moi) qui ne souhaitera pas autoriser explicitement cette association est désormais contraint soit d'utiliser deux navigateurs distincts, soit d'alterner en permanence entre les deux identités pour conserver un tant soit peu cette séparation.

Diriger les fournisseurs de service vers un traitement abusif des données personnelles

Bien entendu, les plus attentifs ne manqueront pas de se dire "mais il est complètement à la masse M. Detoutesfacons, Google peut très facilement reconnaître les deux identités sous lesquelles je consomme vidéos et messagerie et en faire l'association!"

Ce n'est pas tout à fait vrai.

D'un point de vue strictement technologique, la réponse est oui, Google peut associer les deux identités s'il lui en vient la lubie. La technologie en oeuvre permet très facilement d'identifier le lien naturel entre mes deux identités (Youtube et GMail) sans effort. N'importe quel intermédiaire sur Internet peut d'ailleurs effectuer ce genre d'association: lorsque vous appelez un fournisseur d'accès pour vous plaindre de ralentissements, il leur est techniquement simple de savoir si votre souci ressemble vraiment à des ralentissements lors "de la consultation de CNN.com" ou des ralentissements lors de vos visites nocturnes sur un site pour adultes (il a même accès aux termes de recherche... ; ).

D'un point de vue légal par contre, ce genre d'association est généralement illicite et gouverné par les lois traitant de la protection de données personnelles.

Bien que la technologie le permette, la fusion des bases de données issues de deux identités différentes constituerait un traitement de données personnelles que l'utilisateur n'a peut-être pas compris, n'a pas explicitement autorisé, qui serait disproportionné par rapport à la finalité annoncée, voire même illégal.

La raison ultime pour laquelle cette mise en corrélation est dangereuse est qu'elle n'est pas strictement fiable. En effet, dans le cas par exemple de d'un ordinateur en libre accès sur lesquels deux utilisateurs se succéderaient à répétition sous des identités différentes, l'un pour accéder à Youtube, l'autre à sa messagerie, la mise en corrélation implicite des deux identités pourrait alors constituer un traitement erroné de leurs données personnelles.

De nombreux internautes acceptent facilement l'interconnexion de leurs différentes identités sous l'égide d'une seule et unique entreprise dont ils n'identifient pas correctement la raison sociale ni les partenariats commerciaux mis en oeuvre.


Pour ces raisons, je reste convaincu que nous devons maintenir une séparation distincte entre des identités reflétant différentes consommation d'Internet telles que les loisirs, les communications privées, les adhésions à divers services, la consultation de contenus multimédia, etc.

Ceci, non pas afin de conserver l'anonymat (ne rêvez pas!), ni dans le but de se compliquer affreusement la vie, mais afin de contraindre certaines entreprises, en particulier celles pour qui le client n'est pas l'internaute mais plutôt les annonceurs publicitaires et autres partenaires commerciaux, à opérer des traitements potentiellement illicites sur les données personnelles de leurs utilisateurs.


En ce qui me concerne, Google vient une fois de plus de démonter que ses choix ne reflètent pas ma vision d'une protection efficace de la sphère privée de ses utilisateurs. Dommage...