L'Union européenne s'apprête à franchir une étape décisive dans la régulation des géants technologiques. Sous l'égide du règlement sur les marchés numériques (Digital Markets Act, DMA), la Commission européenne doit annoncer le 27 juillet des mesures contraignantes pour Google, l'obligeant à partager ses données de recherche avec ses concurrents et à ouvrir son système d'exploitation Android à d'autres services d'intelligence artificielle. Face à ces projets, le groupe américain monte au créneau en invoquant des risques majeurs pour la sécurité et la vie privée des utilisateurs.
Des mises en garde en provenance des plus hauts responsables sécurité
Heather Adkins, vice-présidente de l'ingénierie sécurité chez Google et membre fondatrice de son équipe sécurité, a exprimé de vives inquiétudes dans plusieurs entretiens. Selon elle, la mise en œuvre des propositions de l'UE, telles que décrites actuellement, pourrait entraîner une recrudescence de la cybercriminalité en Europe. « Si les mesures sont mises en œuvre telles qu'elles sont présentées aujourd'hui, je pense que nous assisterions, dans un court laps de temps, à une augmentation significative des cas de fraude dans l'UE », a-t-elle déclaré. Elle estime que « les fraudeurs sont créatifs et bien informés » et qu'après la date d'entrée en vigueur, « il faudrait peut-être quelques semaines avant de constater une hausse de la fraude en Europe ».
Deux volets réglementaires aux implications sensibles
Le premier volet des mesures envisagées par Bruxelles concerne les données de recherche. Le projet de la Commission prévoit que Google fournisse aux concurrents des données anonymisées issues de ses résultats de recherche, notamment le contenu des requêtes, le classement et les taux de clics. Une granularité d'information jusqu'ici jamais partagée à l'extérieur de l'entreprise. Google estime que cette divulgation expose les utilisateurs à des risques de désanonymisation. Les équipes internes de sécurité auraient réussi, en moins de deux heures, à relier des données de recherche anonymisées à des utilisateurs concrets grâce à des « attaques par recoupement » (linkage attacks). Heather Adkins souligne la complexité du sujet : « L'anonymisation est un processus difficile, et il faut réunir les bons experts techniques pour élaborer des solutions. »
Le second volet concerne Android. Les régulateurs souhaitent que Google mette fin au monopole de Gemini, son assistant IA intégré, en permettant aux utilisateurs de choisir d'autres modèles d'IA et de leur accorder un accès système équivalent. Selon Google, des acteurs malveillants pourraient exploiter cette ouverture pour installer des services d'IA frauduleux capables de dérober des données et de manipuler l'expérience utilisateur. Heather Adkins a précisé que ces risques pourraient se matérialiser rapidement après l'entrée en vigueur des règles.
La position de Google : entre défense de la vie privée et intérêts commerciaux
Google justifie son opposition par la nécessité de protéger les internautes. L'entreprise affirme que les petites structures concurrentes, qui recevraient les données, pourraient constituer des cibles plus vulnérables pour les cybercriminels. « Donner ces données à de petites entreprises européennes, conformément à la loi, en fera des cibles », explique Heather Adkins, insinuant que Google est mieux armé pour sécuriser ces informations sensibles.
Cependant, les concurrents de Google, des universitaires et des chercheurs indépendants ayant participé aux consultations publiques estiment que les risques pour la sécurité et la vie privée sont surestimés. Ils soulignent que des mécanismes adéquats peuvent être mis en place pour garantir l'anonymisation et la protection des données. Les débats se multiplient à mesure que la date butoir approche, mêlant considérations de concurrence et impératifs de confidentialité.
Un cadre réglementaire déjà en place
Le DMA, adopté fin 2022, permet à la Commission européenne de désigner comme « contrôleurs d'accès » (gatekeepers) les grandes plateformes numériques dominant leur secteur, et de leur imposer des obligations d'ouverture et d'interopérabilité. Google, via sa maison mère Alphabet, fait partie de ce groupe, aux côtés d'Amazon, Apple, Booking, ByteDance, Meta et Microsoft. Dans le domaine de la recherche, Google détient environ 90 % du marché mondial, justifiant son statut de contrôleur d'accès.
Les propositions actuelles font suite à des consultations publiques closes en avril dernier. La Commission européenne s'est refusée à commenter les inquiétudes soulevées par Google. Les décisions finales, attendues pour le 27 juillet, pourraient redessiner le paysage numérique européen en matière de concurrence, tout en soulevant des questions inédites sur l'équilibre entre ouverture des données et protection de la vie privée.