Des cochonneries devant la porte

Apple n’est « officiellement » plus en tête sur le support logiciel de ses smartphones. Forcée de concrétiser une information sur laquelle elle ne s’était jamais exprimée, l’entreprise table sur un minimum de cinq ans. Google, forte de l’annonce de ses Pixel 8, caracole désormais. Mais la réalité du marché est nettement plus trouble.

Voilà bien des années que Next revient sur l’un des thèmes qui lui tient à cœur : le support logiciel des appareils, et plus particulièrement celui des smartphones.

Dans ce domaine, Apple a été pendant longtemps en tête, voire un « modèle ». Aucun iPhone n’a jamais été supporté moins de cinq ans, aidé par le fait que l’entreprise maitrise à la fois le matériel et le logiciel, contrairement à Android et sa ribambelle de constructeurs. Une période valable d’ailleurs pour les mises à jour majeures d’iOS. La période de support pour les seules mises à jour de sécurité et d’un ou deux ans plus longue. Mais les temps changent.

Apple, Google et Samsung dans un bateau

Mais qu’est-ce qui a changé au juste ? À l’automne dernier, Google a d’abord présenté son Pixel 8 et sa déclinaison Pro. Outre les caractéristiques techniques et les exclusivités logicielles des téléphones maison, Google a surpris tout le monde en annonçant un support de sept ans. Pas seulement des correctifs de sécurité, mais bien sept ans de mises à jour majeures d’Android.

Nous avons été enthousiasmés par cette annonce. Et pour cause : dans le monde Android, de nombreux appareils d’entrée ou même de moyenne gamme ne dépassent pas les trois ou quatre ans. Bien trop peu. Google a donc voulu montrer l’exemple. La sortie du Pixel 8a n’y a rien changé, car lui aussi a ses sept ans de mises à jour d’Android. Parallèlement, Google a affirmé que les pièces détachées pour les réparations seraient disponibles pendant la même durée.

En janvier, la présentation de la gamme S24 s’est accompagnée, elle aussi, par une annonce identique : sept ans de mises à jour majeures pour Android. Jusqu’aux S23, cette période était de cinq ans. Il s’agissait là encore d’un bond important. Tous les ordinateurs ne peuvent pas en dire autant, y compris certains Mac.

Apple confirme un support de « cinq ans minimum »

L’annonce du Pixel 8 n’était pas inaperçue. À la faveur cependant d’un changement réglementaire au Royaume-Uni, la comparaison s’installe. Le Product Security and Telecommunications Infrastructure Bill, ou PSTI, impose en effet plusieurs mesures, dont l’interdiction des mots de passe par défaut et des obligations de transparence. Parmi ces dernières, celle d’indiquer précisément la durée de support logiciel pour les produits connectés à internet, smartphones en tête.

C’est dans ce contexte qu’Apple a révélé, au sein d’une déclaration de conformité au gouvernement britannique, que cette durée était de « cinq ans minimum à compter de la première date de commercialisation » pour ses iPhone.

Dave Kleidermacher, vice-président de l’ingénieur chez Google, a immédiatement réagi :

« Pendant des années, l’iPhone a eu la réputation d’avoir une durée de vie de support plus longue que celle d’Android. Pourtant, Apple ne s’est jamais engagée à offrir une durée de vie minimale à l’achat. Grâce à la réglementation PSTI du gouvernement britannique […], Apple a finalement publié un engagement de durée d’achat – cinq ans – deux ans DE MOINS que les flagships Android de Google (Pixel) et de Samsung »

Temps mort

Techniquement, la déclaration de Dave Kleidermacher est juste. Il ajoute cependant :

« Les consommateurs méritent de connaître les durées de vie minimales du support de sécurité pour leurs appareils électroniques grand public au moment de l’achat, et bravo au gouvernement britannique pour avoir imposé cette transparence. Apple a le mérite de fournir des mises à jour de sécurité pendant plus de 5 ans, et ce depuis longtemps. Mais il est temps de reconnaître qu’iOS n’offre plus les meilleures durées de vie en matière de sécurité dans l’industrie des smartphones. C’est Android qui le fait ».

Rappelons quand même quelques éléments de contexte. D’une part, c’est la première fois que des appareils Android sont supportés aussi longtemps, à l’exception (très) notable et logique du Fairphone 5. Et les seuls appareils supportés sont les Pixel 8 (tous les modèles) et la gamme Galaxy S24 de Samsung. Il s’agit donc de haut de gamme, voire de très haut de gamme, pour des appareils comme le Pixel 8 Pro ou le Galaxy S24 Ultra.

D’autre part, Apple parle d’un support minimal de cinq ans. En pratique, de nombreux appareils ont été mis à jour pendant six ou sept ans, comme le rappellent nos confrères d’iGeneration. Il est arrivé également à Apple de diffuser des mises à jour de sécurité pour des appareils qui n’étaient plus censés en recevoir. En janvier par exemple, pour les iPhone 6s, 7, SE, 8 et X, des appareils ayant entre 7 et 9 ans. L’iPhone XR, sorti en 2018, tourne actuellement sous iOS 17.5, soit la dernière révision du système. Le Pixel 4a, sorti il y a quatre ans, n’aura pas droit à Android 15.

Enfin, cette période de cinq ans minimum est valable pour l’ensemble des modèles, pas uniquement les derniers ou le haut de gamme. Mais Apple ne fait pas non plus d’entrée de gamme, du moins pas de smartphone à moins de 200 euros, alors qu’ils sont légion sur Android. Un marché que Google a largement contribué à créer.

Les smartphones, ces produits jetables

Que des entreprises prennent enfin au sérieux un critère aussi important est une très bonne raison de se réjouir. Un support logiciel limité expose non seulement la clientèle aux dangers d’un système d’exploitation laissé sans correctifs de sécurité, mais engendre une consommation accrue de ressources.

Les smartphones sont encore trop souvent considérés comme des produits presque jetables. Les constructeurs en font leur beurre, la plupart des gammes étant renouvelées chaque année. Et chaque année, il faut trouver des raisons de motiver cette même clientèle à changer d’appareil. Limiter les mises à jour d’Android – et donc l’arrivée de fonctions majeures – était un moyen parmi d’autres. C’est néanmoins moins vrai depuis plusieurs années, car les versions se succèdent sans gros changements pour les utilisateurs.

Google et Samsung sont les premiers gros fabricants à proposer sept ans pour leurs appareils. Mais il faut encore que la pratique s’étende et fasse tache d’huile. Consciente que ses « partenaires » ne jouent pas le jeu, Google passe certaines mises à jour importantes par le Play Store. Mais même ainsi, cela ne règle pas tous les soucis et tous les fabricants doivent jouer le jeu.

Le grand cirque va devoir prendre fin

D’autre part, l’Europe s’apprête à sonner la fin de la récréation. Le 20 juin entrera en vigueur une extension du règlement sur l’économie circulaire. Elle introduira notamment la note de réparation et l’obligation de transparence sur certains aspects. Surtout, elle obligera les constructeurs à proposer des mises à jour logicielles pendant au moins cinq ans après mise sur le marché. Ce qui signifie en pratique six ou sept ans de mises à jour dans la plupart des cas.

Attention, on parle bien de mises à jour de sécurité. Dans l’absolu, rien ne forcera les constructeurs à proposer de nouvelles versions majeures de leur système. Mais l’important concerne bien la sécurité, afin qu’un appareil gardé durant plusieurs années continue d’être protégé. D’autant que le règlement concernera l’intégralité des appareils mis sur le marché après cette date (le changement n’est pas rétroactif).

Il est probable que cette bascule aura un impact important sur la manière dont les constructeurs mettent des appareils sur le marché. L’entretien s’avérant mathématiquement plus couteux, l’une des voies serait le resserrement des gammes et donc la réduction du nombre de modèles proposés. Mais il n’est pas certain que cette perspective enchante particulièrement les entreprises : la durabilité n’est pas toujours retenue comme argument fort dans les stratégies commerciales.

Schrems vs Meta, a neverending story

L’association autrichienne noyb a déposé 11 plaintes contre Meta auprès d’autant d’autorités chargées de la protection des données en Europe, dont la CNIL. Elle demande à la multinationale d’arrêter immédiatement l’utilisation abusive des données personnelles des utilisateurs de Facebook et Instagram pour l’entrainement de ses IA tel que le prévoit sa nouvelle « Politique de confidentialité ».

L’association de Max Schrems a annoncé avoir déposé 11 plaintes en Europe (en Autriche, Belgique, France, Allemagne, Grèce, Italie, Irlande, Pays-Bas, Norvège, Pologne et Espagne) contre la nouvelle politique de confidentialité de Facebook et Instagram mise en place par Meta, concernant l’utilisation de toutes les données des utilisateurs pour entrainer les IA de la multinationale.

Depuis fin mai, les utilisateurs européens de ces réseaux sociaux ont reçu un email dont le sujet est « nous mettons à jour notre Politique de confidentialité à mesure que nous développons l’IA de Meta ». Ce message indique qu’à partir du 26 juin 2024, l’entreprise s’appuiera désormais sur la base légale des « intérêts légitimes » de Meta pour utiliser les informations de ses utilisateurs « pour développer et améliorer l’IA de Meta ».

Cette décision de Meta a fait réagir certains utilisateurs de ses réseaux sociaux où on a pu voir des chaînes de protestation se mettre en place :

Un formulaire dissuasif

Plus clairement, l’entreprise s’autorise à partir de cette date à utiliser les données (contenus publiés mais aussi données personnelles) de ses utilisateurs collectées depuis la création de leurs comptes pour entrainer ses intelligences artificielles. Un seul moyen d’y échapper : cliquer sur le lien situé au milieu du message expliquant que « cela signifie que vous avez le droit de vous opposer à l’utilisation de vos informations à ces fins » et remplir le formulaire auquel il renvoie.

Et encore, Meta y demande d’ « expliquer l’incidence de ce traitement sur vous » et suggère donc qu’elle pourrait refuser d’accéder à la demande. « Alors qu’en théorie, l’opt-out pourrait être mis en œuvre de telle sorte qu’il ne nécessite qu’un seul clic (comme le bouton « se désinscrire » dans les newsletters), Meta rend extrêmement compliqué le fait de s’y opposer, même pour des raisons personnelles », s’indigne noyb dans son communiqué.

L’association estime aussi que « bien que le choix logique soit celui d’un consentement explicite (opt-in), Meta prétend à nouveau qu’elle a un « intérêt légitime » qui l’emporte sur les droits fondamentaux des utilisateurs ».

noyb rappelle que l’entreprise a déjà voulu s’appuyer sur son « intérêt légitime » pour utiliser les données personnelles de ses utilisateurs pour mettre en place son système de publicités ciblées, mais que la Cour de justice de l’Union européenne a rejeté l’utilisation de cette base légale.

Meta utilise aussi une phrase très vague et très générale pour signaler ce qu’elle s’autorise à faire : « l’IA chez Meta est notre collection de fonctionnalités et d’expériences d’IA générative, comme les outils de création IA et Meta AI, ainsi que les modèles qui les alimentent ». Telle que nous la comprenons, l’entreprise s’autorise à utiliser ces données pour entrainer toutes ses IA.

Dans ses plaintes, noyb accuse Meta d’avoir « pris toutes les mesures nécessaires pour dissuader les personnes concernées d’exercer leur droit de choisir », et de ne pas avoir donné les informations nécessaires à ses utilisateurs.

Aucun intérêt légitime

Elle y estime tout bonnement que Meta « n’a aucun « intérêt légitime » qui prévaut sur les intérêts » des plaignants qu’elle accompagne et « aucune autre base légale pour traiter des quantités aussi importantes de données à caractère personnel pour des finalités totalement indéterminées ».

Elle pointe le fait que l’entreprise « tente en réalité d’obtenir l’autorisation de traiter des données à caractère personnel pour des moyens techniques larges et non définis (« technologie d’intelligence artificielle ») sans jamais préciser la finalité du traitement en vertu de l’Article 5(1)(b) du RGPD ».

Données mises à la disposition de n’importe quel « tiers »

Elle ajoute que l’entreprise n’est même pas « en mesure de différencier correctement entre les personnes concernées pour lesquelles elle peut s’appuyer sur une base légale pour traiter les données à caractère personnel et les autres personnes concernées pour lesquelles une telle base légale n’existe pas ». De même, elle lui reproche de ne pas être capable de faire la différence « entre les données à caractère personnel qui relèvent de l’Article 9 du RGPD [qui pose une interdiction de principe des traitements relatifs à l’origine raciale ou ethnique, aux opinions politiques, convictions religieuses ou philosophiques ou à l’appartenance syndicale, ndlr] et les autres données qui n’en relèvent pas ».

Enfin, l’association pointe le fait que « Meta déclare elle-même que le traitement des données à caractère personnel est irréversible et qu’elle n’est pas en mesure de respecter le « droit à l’oubli » ».

Pour Max Schrems, « Meta dit en substance qu’elle peut utiliser « n’importe quelle donnée provenant de n’importe quelle source pour n’importe quel usage et la mettre à la disposition de n’importe qui dans le monde », à condition que ce soit par le biais d’une « technologie d’intelligence artificielle ». Cela est clairement non conforme au RGPD. L’expression « technologie d’IA » est extrêmement large. Tout comme « l’utilisation de vos données dans des bases de données », il n’y a pas de limite légale réelle ».

Il ajoute que « Meta précise également que les données des utilisateurs peuvent être mises à la disposition de n’importe quel « tiers », c’est-à-dire n’importe qui dans le monde ».

Accord avec l’autorité irlandaise

Interrogée par le média irlandais The Journal, l’autorité de protection irlandaise DPC dont dépend Meta (son siège européen étant à Dublin) a expliqué que l’entreprise a retardé le lancement de cette nouvelle politique de confidentialité « à la suite d’un certain nombre de demandes de la DPC qui ont été traités ».

L’autorité irlandaise indique que « Meta affiche maintenant une notification dans sa barre de navigation, a ajouté des mesures de transparence supplémentaires (des articles dans le « AI privacy center ») et un mécanisme dédié d’opposition ». Enfin, l’autorité insiste sur le fait d’avoir obtenu que Meta attende quatre semaines entre la notification aux utilisateurs et la date du premier entrainement avec ces données.

Elle ajoute que Meta l’a assurée « que seules les données personnelles des utilisateurs basés dans l’UE (posts et non commentaires) partagées publiquement sur Instagram et Facebook au moment de l’entrainement seront utilisées et que cela n’inclura pas les données personnelles provenant de comptes appartenant à des utilisateurs de moins de 18 ans ».

Pour noyb, cela signifie que « cette violation flagrante du RGPD est (de nouveau) basée sur un « accord » avec la DPC. Celle-ci a déjà conclu un accord avec Meta qui a permis à l’entreprise de contourner le GDPR – et qui s’est soldé par une amende de 395 millions d’euros contre Meta après que le Conseil européen de la protection des données (EDPB) ait annulé la décision de la DPC irlandaise ».

Interrogée par email par Next, Meta n’a pas encore répondu à nos questions.

Hier, en clôture de la bourse, NVIDIA a atteint les 3 019 milliards de dollars de capitalisation boursière, a relevé CNBC. Profitant d’une hausse de 5,6 % de son action (à 1 240,40 dollars), elle a dépassé Apple pour venir s’installer à la deuxième place. Microsoft reste en tête, avec 3 150 milliards de dollars.

Depuis un an, l’entreprise jouit d’une explosion de ses résultats, aussi bien financiers qu’en bourse. Le 22 mai, elle avait ainsi annoncé un chiffre d’affaires de 26 milliards de dollars, très loin devant les 7,19 milliards réalisés un an plus tôt. La publication de ces résultats avait provoqué une envolée de 24 % de l’action. NVIDIA prévoit de réaliser un chiffre d’affaires de 28 milliards de dollars pour ce trimestre, qui se terminera fin juillet.

Ce nouveau classement des plus grosses capitalisations boursières reflète une actualité dominée par l’intelligence artificielle. Avec ses investissements massifs dans OpenAI et les datacenters, Microsoft est à la pointe, même si des produits comme Recall peuvent entacher sa réputation.

NVIDIA, bien sûr, est de son côté l’empereur actuel des puces dédiées à l’IA. Ces dernières s’arrachent par de nombreuses entreprises, dans une croissance portée par l’IA générative. Ses GPU dédiés se retrouvent dans tous les centres de données, qu’ils soient de Microsoft (Copilot), OpenAI (GPT) ou encore Google (Gemini).

• NVIDIA : IA, IA, GPU Rubin, IA, IA, SFF-Ready, IA, IA…

Won't be devil

Le géant de la tech’, qui a enregistré son meilleur bénéfice trimestriel au premier trimestre de cette année et est l’une des quatre premières entreprises au monde en termes de capitalisation boursière, n’en a pas moins licencié l’an passé près de 7 % de ses 190 000 employés.

Forbes a appris que Keith Enright, responsable de la protection de la vie privée de Google depuis 13 ans, quittera son poste. Il ne serait pas prévu, à ce stade, de le remplacer, « alors que l’entreprise restructure ses équipes chargées de la protection de la vie privée et du respect de la législation ».

Matthew Bye, responsable du droit de la concurrence chez Google, quittera lui aussi l’entreprise après 15 ans de service, et sans attendre la tenue du procès historique antitrust intenté par le ministère de la Justice au sujet des contrats passés par Google avec les fabricants d’appareils pour favoriser son moteur de recherche.

Jenn Crider, porte-parole de Google, a confirmé qu’Enright et Bye quitteraient leur poste dans le courant de l’année et ne seraient pas remplacés. Elle ne s’étend pas davantage et n’indique pas s’il s’agit de démissions, de licenciements ou d’un accord entre les deux.

La société ajoute, dans un communiqué, que Google continuerait à « établir et à maintenir des contrôles avancés en matière de protection de la vie privée et des données pour nos services, avec l’aide de nos équipes juridiques et de protection de la vie privée, ainsi que de centaines de personnes dans l’ensemble de l’entreprise ».

Le départ de M. Enright s’inscrit en effet dans le cadre d’une restructuration plus large des équipes chargées des politiques et de la protection de la vie privée chez Google. L’entreprise a expliqué à Forbes que cette réorganisation visait à « confier le travail sur la politique de confidentialité à des équipes de produits et d’ingénierie individuelles, plutôt qu’à un seul bureau ».

Google a brusquement licencié le tiers de sa Legal Team

Le Syndicat des travailleurs d’Alphabet (CWA) déplorait le 24 mai dernier qu’ « environ un tiers » des membres (« un peu moins de 100 ») de sa Legal Investigations Team (LIS), « a été brusquement licencié par Google, ce qui a mis en péril des initiatives essentielles en matière de sécurité publique, la conformité juridique et réglementaire de Google dans le monde entier, ainsi que la sécurité de ses utilisateurs et de leurs données privées ».

LIS est en effet responsable du traitement des demandes d’accès aux données des utilisateurs formulées par les forces de l’ordre, les tribunaux et le public, mais également chargée de « créer et mettre en œuvre les programmes et politiques qui protègent les données des utilisateurs et garantissent le respect des obligations légales de Google ».

Or, le syndicat souligne qu’avant même l’annonce de leur licenciement, « le manque de personnel au sein de cette équipe avait ralenti la capacité de Google à répondre aux demandes, entraînant un retard important et un risque accru pour l’intégrité et la sécurité des données sensibles des utilisateurs » :

« Il s’agit notamment des demandes d’urgence qui soutiennent les efforts des forces de l’ordre pour géolocaliser les personnes en situation de crise, notamment les victimes d’enlèvements, d’abus sexuels sur des enfants et de fusillades dans les écoles, ainsi que les personnes disparues et celles qui risquent de s’automutiler. »

« Google a enregistré son meilleur bénéfice trimestriel au premier trimestre de cette année sur un chiffre d’affaires de plus de 80 milliards de dollars et est l’une des quatre premières entreprises au monde en termes de valeur boursière », a déclaré Stephen McMurtry, membre du bureau exécutif élu du CWA :

« Ces licenciements ne sont pas motivés par de véritables contraintes financières. Les dirigeants ont privilégié la réalisation de bénéfices à court terme pour les actionnaires au détriment des personnes qui dépendent des produits de l’entreprise et de celles dont le travail garantit le fonctionnement de ces produits. »

Google a licencié près de 7 % de ses employés l’an passé

À l’instar d’autres géants de la technologie, Google avait massivement recruté pendant le confinement, passant de 156 500 à 190 000 employés en 2022, avant de procéder à d’importants licenciements au cours des dix-huit derniers mois, relève Forbes.

• Amazon, Discord, Google, Meta : 2024 commence sur une nouvelle vague de licenciements

Fin 2023, l’entreprise employait 182 502 personnes d’après Statista, et 180 895 au 31 mars dernier, d’après Alphabet, contre 190 711 fin mars 2023, soit une baisse d’un peu plus de 5 % en un an.

D’après Layoffs.fyi, qui répertorie les licenciements dans la tech’, Google aurait licencié au moins 13 472 employés depuis janvier 2023, soit plus de 7 % des effectifs enregistrés en 2022.

Dans un message publié sur LinkedIn, Keith Enright, qui précise qu’il quittera son poste à l’automne, a de son côté tenu à remercier les Googlers, mais pas seulement :

« Je suis reconnaissant aux régulateurs, aux décideurs politiques et aux défenseurs des droits de l’homme qui, sans relâche, ont fait pression pour que nous nous améliorions, pour que nous remettions en question nos présomptions et pour que nous restions humbles ».

Ces départs interviennent alors que, rien que pour ces derniers jours, Google vient de reconnaître l’existence d’une base de données répertoriant des milliers de problèmes concernant des données personnelles entre 2013 et 2018. De plus, d’anciens salariés de Google DeepMind viennent de réclamer la possibilité d’exprimer leurs préoccupations sur les dangers des IA les plus avancées.

Et ce, alors que l’entreprise fait un all-in sur l’IA avec Gemini, quitte à lancer de nouveaux services avec précipitation. Au point d’aller jusqu’à générer, par exemple, des images d’une femme indienne comme pape catholique ou encore de soldats nazis… noirs.

• Google fait un all-in sur l’IA avec Gemini

Aprés un mois avec plusieurs reports du décollage de la capsule Starliner de Boeing avec deux astronautes américains à bord : Butch Wilmore et Sunita Williams. Elle a finalement pris son envol hier et fait route vers la Station spatiale internationale. Mais, ce n’est pas un long fleuve tranquille, loin de là.

L’allumage et la séparation des boosters se sont réalisés avec succès, comme la libération de la capsule et l’insertion sur une orbite stable. Les deux astronautes ont ensuite pu retirer leur combinaison. Ils ont également procédé à quelques tests de navigation manuels pour vérifier que la capsule se comporte normalement. Là encore, rien à signaler.

Trois fuites, dont une déjà connue

Cette nuit, à 2h54, Boeing annonce « que Butch Wilmore et Sunita Williams sont entrés dans la période de sommeil de l’équipage », et que cela devrait durer jusqu’à 10h30 heure française.

Hélas, à 5h10, la NASA indique que ses équipes « ont identifié trois fuites d’hélium sur le vaisseau spatial », dont l’une avait déjà été identifiée avant le décollage. Elle n’a pas été réparée, un plan d’action avait simplement été mis en place : « Nous pouvons gérer cette fuite, même si le taux devait être 100 fois plus important », avait expliqué Steve Stich, haut responsable de la NASA.

• Starliner encore repoussée, une fuite d’hélium détectée

« Les deux autres sont nouvelles depuis le passage en orbite. Deux des valves à hélium concernées ont été fermées et le vaisseau spatial reste stable », ajoute l’Agence spatiale américaine. Elle ne précise cependant pas les conséquences. Boeing ne dit rien de son côté, si ce n’est que l’équipage vient de sortir de sa période de sommeil et se prépare à l’arrimage.

Arrivée toujours prévue cet après-midi à l’ISS

Quoi qu’il en soit, la NASA ajoute que Starliner « reste en bonne voie pour un amarrage à 18h15 », heure française à la Station spatiale internationale. L’Agence rencontrera néanmoins les équipes de Boeing avant cela pour « examiner les données ». Boeing aussi vise toujours un arrimage à l’heure prévue.

On espère que les astronautes vont pouvoir rejoindre l’ISS sans encombre. Il faudra ensuite voir comment ils vont en repartir : à bord de la capsule Starliner ou bien d’un autre engin ? Après des années de retard, c’est dans tous les cas un coup dur pour l’image de Boeing.

Starliner doit pour rappel être une alternative au Crew Dragon de SpaceX, qui enchaine les allers-retours sans problème depuis maintenant plusieurs années.

L’application pour Android et iOS a été lancée en janvier aux États-Unis. Depuis hier, elle est en déploiement en Europe et au Royaume-Uni.

Sur Android, on parle bien d’une application dédiée, à installer depuis le Play Store. Elle réclame un smartphone doté d’au moins 2 Go de mémoire et fonctionnant sur Android 10 ou version ultérieure. Sur iPhone, Gemini est intégré dans l’application Google sous forme d’onglet. La société précise cependant dans son billet qu’il faudra attendre quelques semaines sur cette plateforme.

Les fonctions mises en avant sont l’aide à l’écriture, la synthèse et la recherche rapide des informations dans Gmail et Drive, la possibilité d’appeler « Hey Google » pour obtenir de l’aide ou encore la planification de voyages avec Google Maps et Flights. Comme Google l’avait également montré durant sa conférence I/O, on peut également « utiliser du texte, votre voix, des photos et votre appareil photo pour obtenir de l’aide de différentes façons ».

Dans la présentation qui en avait été faite, Google montrait comment on pouvait prendre une photo de son appareil photo et demander pourquoi le bouton ne fonctionnait plus. Gemini proposait alors une série de conseils. « Vous pouvez prendre une photo de votre pneu crevé et demander des instructions pour le changer, ou obtenir de l’aide pour écrire un mot de remerciement », indique également l’entreprise dans son billet.

Gemini a vocation à remplacer Google Assistant avec le temps. Elle n’est cependant pas capable d’en reprendre une partie des attributions, comme tout ce qui touche au contrôle des médias, aux rappels et aux routines.

Atos a annoncé repousser « jusqu’à la semaine du 10 juin » le choix de son repreneur, qu’il devait initialement annoncer ce jour.

Lourdement endetté, le groupe informatique aux 95 000 salariés a reçu le week-end dernier deux offres « révisées » de restructuration financière de la part de Daniel Křetínský (EPEI, avec le fonds Attestor) et de David Layani, patron de OnePoint et menant un consortium de plusieurs créanciers. Le conseil d’administration de l’entreprise vise un accord final « pour juillet 2024 ».

Si l’État n’a pas ouvertement pris parti, le camp Layani voudrait croire que le ministère de l’Économie le soutient, rapporte Le Monde. La lettre d’intention formulée par Bruno Le Maire pour racheter les activités sensibles du groupe (cybersécurité, systèmes militaires et supercalculateurs) sonne, du côté de M. Kretinsky, comme la levée d’éventuels obstacles politiques.

Début mai, Atos avait indiqué avoir besoin de 1,1 milliard d’euros de liquidité et chercher à réduire de 3,2 milliards d’euros une dette brute qui s’approche des 5 milliards.

Ten Ten est une application française dont le principe est simplissime : transformer le smartphone en talkie-walkie. Comme ce dernier, les messages envoyés sont lus sur le haut-parleur du téléphone, même quand il est verrouillé, écran éteint.

Lancée il y a à peine deux mois sur Android et iOS, le succès de l’application a été quasi immédiat. Elle a été téléchargée quatre millions de fois, dont un million en France. Cependant, divers aspects de son fonctionnement font lever des sourcils, notamment au ministère de l’Intérieur. Camille Chaize, porte-parole du ministère, met ainsi en garde contre « de sérieux dangers pour la vie privée et la sécurité en ligne ».

Deux points sont particulièrement mis en avant. D’abord, pour la vie privée, car l’application récupère les noms, numéros de téléphone, pseudos et contact.

Précisons que l’application réclame également plusieurs accès – dont les contacts et le microphone – sans lesquelles elle ne peut pas (ou ne veut pas) fonctionner. La politique de confidentialité de Ten Ten étant « en cours de rédaction », le risque existe, même si la société française affirme qu’elle ne vendra jamais les données et que les conversations sont éphémères, donc non enregistrées.

Deuxième point, l’aspect intrusif du fonctionnement. La réception d’un message n’est pas soumise à validation. En clair, l’audio se déclenche dès la réception. Où que l’on soit, un contact pourra faire émettre sur votre téléphone – même verrouillé – le message de son choix. Celui-ci pourra contenir sa voix ou n’importe quel son à portée de son micro.

Cet aspect intrusif est renforcé par le fonctionnement par pseudos. Ces derniers s’échangent vite. Les enfants et adolescents, qui semblent plébisciter l’application, pourraient donc ajouter des individus malintentionnés.

La porte-parole du ministère de l’Intérieur donne plusieurs recommandations. Notamment, conseiller aux enfants la plus grande prudence sur les personnes ajoutées, ainsi que la désactivation des notifications la nuit. Un réglage permet en outre de limiter l’envoi de messages audio aux seules personnes autorisées.

En mars, le JEDEC officialisait la nouvelle génération de mémoire pour les cartes graphiques : la GDDR7. Les changements sont nombreux : PAM-3, quatre canaux, ODECC, etc. Nous avons déjà détaillé les nouveautés dans une précédente actualité.

• La GDDR7 est officielle : PAM-3, on-die ECC et bande passante jusqu’à 192 Go/s

Les fabricants n’avaient pas attendu bien sûr la finalisation de la norme par le JEDEC pour parler de GDDR7. Dès juillet 2023, Samsung annonçait par exemple avoir « terminé le développement de la première DRAM GDDR7 de l’industrie », avec une puce de 16 Gb.

Micron profite du Computex pour annoncer que les premiers échantillons de sa GDDR7, là encore avec des puces de 16 Gb (2 Go) sont disponibles pour ses partenaires. Le fabricant ajoute que cette nouvelle génération sera disponible « lors du second semestre de l’année civile 2024 ».

Cette GDDR7 propose un débit de 32 Gb/s par broche. C’est moins que la limite haute de la norme (48 Gb/s), mais davantage que la GDDR6(X) à 24 Gb/s. La bande passante totale est ainsi de plus de 1,5 To/s sur un bus de 384 bits. La fiche technique est disponible par ici.

Micron annonce aussi que sa « GDDR7 propose une amélioration de l’efficacité énergétique de plus de 50 % par rapport à la GDDR6 ». En outre, « le nouveau mode veille réduit la consommation en veille jusqu’à 70 % », toujours comparé à la GDDR6.

Pour rappel, Micron prévoit d’augmenter la densité cette année et en 2025 avec des puces de 24 Gb. En 2026, il est question de passer à 36 Gb/s par broche et de rehausser encore la capacité.

• HBM4, GDDR7, CXL 3.x… : la roadmap Micron jusqu’en 2028

La GDDR7 pourrait être la mémoire utilisée par la prochaine génération de cartes graphiques, mais il faudra attendre les annonces des constructeurs pour en avoir le cœur net.

Une lettre ouverte signée par des anciens salariés d’OpenAI et de Google DeepMind réclame la possibilité d’exprimer leurs préoccupations sur les dangers des IA les plus avancées. Certains signataires sont restés anonymes par peur de possibles représailles. Le texte est aussi soutenu par Yoshua Bengio, Geoffrey Hinton et Stuart Russell.

Mardi, un petit groupe d’anciens salariés d’OpenAI a publié un texte sur le site Right to warn. Leurs signatures sont accompagnées de celles de Ramana Kumar, un ancien de Google DeepMind et de Neel Nanda, ancien d’Anthropic actuellement en poste chez Google DeepMind.

Cette lettre arrive alors qu’il y a quinze jours, l’équipe chargée de contrôler les IA chez OpenAI a quitté l’entreprise. Elle a déclaré ne pas avoir reçu les moyens qui lui avaient été promis pour travailler sur le sujet. L’entreprise a, depuis, créé un nouveau comité de sécurité, mais celui-ci parait verrouillé par la présence de Sam Altman et Bret Taylor en son sein.

Dans ce contexte, OpenAI a été accusé d’éviter toute critique de ses anciens employés en leur imposant la signature d’un accord de confidentialité (NDA) qui leur interdit de la critiquer.

• Comment OpenAI évite toute critique de ses anciens employés
• [Màj] OpenAI : l’équipe chargée de contrôler les IA n’avait pas accès aux capacités de calculs promises

Seuls à pouvoir sonner l’alarme

Dans leur texte, ces ingénieurs expliquent être en position de comprendre les risques posés par ces technologies : « ces risques vont du renforcement des inégalités existantes à la manipulation et à la désinformation, en passant par la perte de contrôle des systèmes d’IA autonomes pouvant entraîner l’extinction de l’humanité ».

Ils disent « espérer que ces risques pourront être atténués de manière adéquate si la communauté scientifique, les décideurs politiques et le public fournissent des orientations suffisantes ». Mais ils ajoutent que « les entreprises d’IA ont de fortes incitations financières à éviter une surveillance efficace, et nous ne pensons pas que les structures de gouvernance d’entreprise habituelles soient suffisantes pour changer cette situation ».

Pour eux, « tant qu’il n’y aura pas de contrôle gouvernemental efficace de ces entreprises, les employés actuels et anciens sont parmi les rares personnes qui peuvent les mettre devant leurs responsabilités publiquement ».

Mais ils dénoncent les accords de confidentialité qui les « empêchent d’exprimer [leur] préoccupations ». Ils pointent une faille dans la protection des lanceurs d’alerte qui se concentre « sur les activités illégales, alors que bon nombre des risques qui nous préoccupent ne sont pas encore réglementés ».

Dénonciation des accords de confidentialité

Ils demandent donc aux entreprises d’IA de s’engager à : ne plus signer d’accords de confidentialité qui empêchent toute critique des risques liés à l’intelligence artificielle, créer un processus anonymisé de remontée des préoccupations, soutenir une culture de la critique ouverte, et s’engager à ne pas aller à l’encontre d’employés partageant publiquement des informations confidentielles liées à des risques si d’autres processus ont échoué avant.

Ce texte est soutenu par Yoshua Bengio, Geoffrey Hinton et Stuart Russell, des personnalités qui comptent dans cette communauté.

• Geoffrey Hinton quitte Google, des observateurs lassés par la tournure du débat sur les risques de l’IA forte

Publication tardive

Cette lettre arrive pourtant tard alors que Timnit Gebru et Margaret Mitchell ont été licenciées par Google fin 2020 et début 2021. Elles travaillaient alors sur la publication de leur article scientifique prévenant déjà des dangers des grands modèles de langage, outils sur lesquels se base l’IA générative.

• Google, IA et éthique : « départ » de Timnit Gebru, Sundar Pichai s’exprime
• Google, IA et éthique : Margaret Mitchell annonce avoir été licenciée

Interrogée par Ars Technica, Margaret Mitchell (qui travaille maintenant chez Hugging Face) témoigne de la difficulté de lancer l’alerte dans l’industrie de l’IA : « vous devez quasiment renoncer à votre carrière et à votre santé psychologique pour poursuivre en justice une organisation qui, du fait qu’elle est une entreprise, n’a pas de sentiments et dispose des ressources nécessaires pour vous détruire ».

Même si ses préoccupations concernant les dangers des IA ne sont pas les mêmes que celles des auteurs de la lettre, Margaret Mitchell « estime que les préoccupations soulevées par la lettre soulignent le besoin urgent d’une plus grande transparence, d’un meilleur contrôle et d’une meilleure protection pour les employés qui dénoncent les risques potentiels » note Ars Technica.

Mais la chercheuse ajoute que les lois « qui soutiennent de manière disproportionnée les pratiques injustes des grandes entreprises au détriment des travailleurs » doivent être modifiées significativement.

Depuis sa présentation, Windows Recall n’en finit plus de faire parler de lui et, au fil des jours, de nouveaux cas d’usage problématiques remontent à la surface. À tel point qu’on se demande maintenant quand et comment Microsoft va revoir ses plans.

Cette fonction, alimentée par une IA locale, prend régulièrement des captures d’écran de tout ce qui est fait. Via une analyse OCR, Recall extrait les informations. On peut ainsi retrouver toute activité faite sur la machine au cours des trois derniers mois au moins.

• La surveillance Windows Recall permet en l’état un pillage des données sensibles

Cette fonction, active par défaut (opt-out), s’attire les foudres de nombreuses personnes, y compris chez les experts en cybersécurité, comme Kevin Beaumont. Mais les dangers ne concernent pas seulement la personne utilisant son PC Copilot+.

Si l’on utilise n’importe quel autre appareil sans Recall (Mac, Linux, smartphone…), on aura tôt fait de se dire « je ne suis pas concerné ». Mais vous l’êtes : si vous communiquez avec une personne utilisant un PC Copilot+ avec Recall activé, les informations que vous lui transmettrez pourront se retrouver dans sa base de données.

Les scénarios sont multiples : photos diverses et variées (y compris intimes), informations confidentielles, codes, discussions personnelles, données protégées par des accords de non-divulgation, partage d’écran… Certains se demandent – avec plus ou moins d’humour – s’il faudra demander systématiquement à un correspondant sur Copilot+ si Recall est activé avant tout échange.

Le chef de brigade Eric Freyssinet, conseiller en cybersécurité au ministère de l’Intérieur, a ainsi publié un billet de blog présentant divers cas problématiques, dont l’espionnage par un proche abusif. Dans le cadre de violences conjugales, un mari pourrait vérifier tout ce qu’a fait son épouse sur l’ordinateur familial.

Il est probable que la polémique ait pris assez d’ampleur désormais pour que Microsoft révise ses plans. D’autant que la CNIL anglaise (Information Commissioner’s Office) a ouvert une enquête à ce sujet.

Une enquête conjointe du Citizen Lab et de l’ONG Access Now révèle que cinq journalistes indépendants et deux activistes des oppositions russes et biélorusses ont été ciblés par le logiciel espion Pegasus de la société NSO entre 2020 et 2023, et que les terminaux de cinq d’entre eux avaient bien été infectés.

Access Now précise que plusieurs avaient reçu un email d’alerte d’Apple les informant qu’ils avaient potentiellement été visés par un logiciel espion, ce pourquoi ils avaient contacté l’ONG, qui a mis en place un service d’analyse technique dédié.

Les cyberattaques se seraient intensifiées après l’invasion de l’Ukraine par la Russie qui, pas plus que la Biélorussie, n’est cela dit un client de NSO. Du fait des sanctions imposées par les USA, NSO ne vend plus son logiciel espion qu’aux seuls pays alliés avec Israël et les États-Unis. Les ONG doutent que la Lettonie, la Pologne et la Lituanie, où les journalistes et opposants ciblés vivent en exil, puissent être derrière l’opération.

• Israël interdit la vente d’outils de piratage et de surveillance dans 65 pays

Access Now s’interroge sur la possibilité que l’Estonie, qui coopère étroitement avec la Lettonie et la Lituanie, puisse être impliquée, relève The Record.

La Federal Aviation Administration (FAA) américaine a validé le projet d’un nouveau lancement de la fusée Starship de SpaceX. Il devrait avoir lieu jeudi à 14h, heure française (12:00 UTC). La fenêtre de lancement est de deux heures.

Ce décollage sera le quatrième essai de Starship en mode « Super Heavy ». Pour le dernier en date, SpaceX avait réussi à mettre en orbite sa fusée, mais avait perdu ensuite tout contact au moment de rallumer le moteur Raptor et contrôler le retour de leur fusée.

Dans son communiqué, SpaceX présente ce quatrième vol comme lui permettant « de passer de la mise en orbite à la démonstration de la capacité de retour et de réutilisation de Starship et de Super Heavy ».

Pareil, en moins bien

Google évoque l’abandon du Manifest V2, utilisé par les extensions, au profit d’une V3. La bascule, plusieurs fois reportée, est désormais à nos portes. Elle est enclenchée dans les préversions de Chrome. Bien que l’entreprise affirme que de nombreux problèmes ont été réglés, les bloqueurs de publicité restent moins efficaces avec la nouvelle version.

Le Manifest est la structure servant de base aux extensions dans Chrome. Il définit leurs capacités et droits, ainsi que le périmètre de leurs actions. Cette plateforme, quand elle évolue, impacte profondément le fonctionnement des extensions.

Jusqu’à présent, les extensions étaient basées sur la V2. C’est la version la plus connue, celle qui a fait les beaux jours des bloqueurs de publicité tels qu’Adblock Plus. Google la considérait cependant comme percluse de problèmes de sécurité, avec l’évolution des standards dans ce domaine. Une V3 avait été mise en chantier.

Cependant, beaucoup accusent Google de profiter de cette nouvelle version pour s’attaquer aux bloqueurs de publicité. Et le temps est pratiquement écoulé, comme le confirme la société.

Une simple question de sécurité ?

Le plus gros changement entrainé par l’arrivée de Manifest V3 est la suppression de l’API Web Request. Celle-ci permettait jusqu’ici d’examiner ce qui transitait entre un site web et un navigateur, et surtout d’y réagir. Elle était très utilisée par les bloqueurs de publicité. Et pour cause : Web Request autorise la modification à la volée des requêtes vers un domaine.

Pour Google, le problème relève de la sécurité : une telle interface de programmation donne trop de pouvoir aux extensions. Et si certaines – dont les bloqueurs – le font pour des raisons « légitimes », l’API peut être utilisée pour espionner les communications et autres comportements malveillants. En 2018, Trend Micro avait montré comment l’API avait été utilisée pour créer des botnets destinés au vol de cryptomonnaies.

Pour compenser la disparition de Web Request, Google a proposé une autre API, Declarative Net Request. Le nom de l’API résume d’ailleurs la situation, puisque les extensions doivent déclarer précisément ce qu’elles vont faire.

Avec Declarative Net Request, les extensions ne peuvent plus analyser en temps réel ce qui circule, ni accéder à du code distant. Ces deux importantes modifications améliorent nettement la sécurité des extensions, dont les droits s’en retrouvent d’autant limités. L’internaute y gagne également en contrôle, car il devient possible de moduler plus finement le comportement des extensions.

De multiples reports et ajouts

Le travail sur le Manifest V3 a commencé il y a des années. Google souhaitait l’imposer plus tôt, mais les levées de boucliers ont poussé l’entreprise à enchainer les reports. En juin 2022, nous indiquions par exemple que Google ne laissait plus qu’un an aux développeurs d’extensions pour transiter vers la nouvelle plateforme. Mais ce délai a été étendu.

Dans sa communication datée du 30 mai, Google revient sur ce point. Pour la société, ce fut surtout l’occasion de récolter un nombre croissant de retours. Elle dit avoir suivi de nombreuses demandes et recommandations des développeurs d’extensions. « Nous apprécions la collaboration et les commentaires de la communauté qui nous ont permis – et continuent de nous permettre – d’améliorer constamment la plateforme d’extensions », indique Google.

Google donne plusieurs exemples d’ajouts, comme le support des scripts utilisateurs, la possibilité d’utiliser les API DOM en arrière-plan, ou encore la capacité à prendre en charge jusqu’à 330 000 règles statiques et 30 000 dynamiques. Résultat, Google indique que 85 % des extensions présentes sur le Chrome Web Store sont déjà en MV3.

Des bloqueurs de publicité moins efficaces

Parmi les autres changements, les auteurs d’extensions n’auront plus à faire valider chaque liste statique. Pour les bloqueurs de publicité, c’est un bon point. En revanche, les listes dynamiques restent sujettes à approbation. Or, ce sont les plus intéressantes.

Ce changement est accompagné d’un autre : une liste ne pourra plus être mise à jour directement. Pour récupérer le nouveau jeu de données, il faudra que l’extension elle-même soit mise à jour. Un processus lourd, dénoncé l’année dernière par Krzysztof Modras, l’un des auteurs de l’extension Ghostery. Avec cette modification, envoyer une nouvelle liste chez les utilisateurs revient à refaire passer l’extension par le processus de validation du Chrome Web Store.

Le 3 mai, les développeurs d’Adblock Plus (eyeo) avertissaient des changements à venir dans la version Manifest V3 de l’extension, disponible depuis quelques semaines. Le fonctionnement est modifié, avec des limitations imposées. Par exemple, la nouvelle mouture contient 100 listes préinstallées, l’internaute pouvant en activer jusqu’à 50. Cependant, impossible pour l’instant de s’abonner à des listes tierces.

Sur la gestion des listes cependant, eyeo assure avoir trouvé un moyen de contourner la limitation de Manifest V3. L’extension force son Service Worker à redémarrer, la mise en pause intervenant 30 secondes sans activité dans le navigateur.

Récemment, le développeur Raymond Hill a montré comment l’extension uBlock Origin Lite – version Manifest V3 d’uBlock Origin – était clairement moins efficace dans le blocage publicitaire.

Une disparition rapide, mais par phases

Chrome 127, dont la bêta est imminente, doit marquer le début de la fin pour Manifest V2. Si vous avez de « vieilles » extensions, un bandeau d’information apparaitra dans le panneau de gestion dédié (pour les personnes qui pensent à y aller). Les extensions MV2 actuellement mises en avant ne le seront plus.

« Cette mesure sera suivie progressivement, dans les mois à venir, par la désactivation de ces extensions. Les utilisateurs seront dirigés vers le Chrome Web Store, où il leur sera recommandé des alternatives à Manifest V3 pour leur extension désactivée. Pendant une courte période après la désactivation des extensions, les utilisateurs pourront encore réactiver leurs extensions Manifest V2, mais au fil du temps, cette option disparaîtra également », explique Google sur son blog.

Notez que les extensions MV2 ne seront pas toujours remplacées par leur nouvelle mouture MV3. Dans le cas d’Ublock Origin par exemple, il faudra soit passer par une alternative, soit récupérer la version Lite, qui ne contient pas de filtrage dynamique. Les développeurs ont indiqué cette information dans une FAQ.

C’est donc dans un tout petit peu plus d’un mois que la nouvelle fusée européenne prendra son envol : le 9 juillet, sauf report de dernière minute.

C’est peu dire que ce lancement est attendu et que le lanceur n’a pas réellement le droit à l’erreur, au risque de priver pendant encore un bon moment le vieux continent de souveraineté sur l’accès à l’espace.

• L’Europe privée de lanceurs jusqu’en 2024

L’Agence spatiale européenne rappelle qu’Ariane 6 « est le nouveau lanceur lourd européen, qui prend la relève de son prédécesseur, Ariane 5. Modulaire et polyvalent, Ariane 6 dispose d’un étage supérieur réallumable lui permettant de lancer plusieurs missions sur différentes orbites en un seul vol ».

Stéphane Israël, président exécutif d’Arianespace, rappelle qu’Ariane 6 à déjà un carnet de commande bien rempli avec pas moins de 30 missions.

C’est donc presque un an après le dernier vol d’Ariane 5 que la 6e version de la fusée prendra son envol du port spatial de l’Europe, en Guyane française.

Instagram a confirmé auprès de TechCrunch réaliser des tests de publicités que l’on ne peut pas passer. À la manière d’un nombre croissant de plateformes diverses, il faut donc attendre que le chronomètre soit écoulé pour passer au prochain contenu.

« Nous testons toujours des formats qui peuvent apporter de la valeur aux annonceurs. Au fur et à mesure que nous testons et apprenons, nous fournirons des mises à jour si ce test aboutit à des changements formels du produit », a déclaré un porte-parole à nos confrères. L’entreprise n’a précisé ni le nombre de personnes ni les zones géographiques concernées.

Le changement avait été repéré par plusieurs personnes il y a quelques jours. La seule action possible est d’appuyer sur le petit « i » d’informations. Un panneau s’ouvre alors, expliquant que les « coupures publicitaires sont une nouvelle façon de voir les publicités sur Instagram » et qu’il faut parfois attendre avant de continuer à naviguer.

TechCrunch rapporte, sans surprise, que les réactions sont en grande majorité négatives, avec menaces de fermetures de comptes. Le modèle commercial étant basé sur l’engloutissement des contenus, l’introduction de telles cassures pourrait effectivement remettre en question l’utilisation chez une partie du public.

Dans un billet technique publié lundi soir, Google a annoncé un nouveau mécanisme baptisé Shared Memory Versioning. Il s’agit de traiter différemment les cookies pour mettre fin à des situations de blocage intervenant sur des sites « mal développés ».

Dans une étude menée par l’équipe de Chromium, les développeurs ont constaté en effet que 87 % des accès aux cookies étaient redondants. Il peut même arriver que des cookies soient demandés plusieurs centaines de fois par seconde.

Le nouveau mécanisme fonctionne comme une nouvelle boite à cookies pour réguler les lectures et écritures des cookies. Elle permet de contourner, en quelque sorte, une exigence des spécifications du web voulant que JavaScript récupère toujours les cookies de manière synchrone. Pas un problème en temps normal, mais quand le nombre de requêtes explose, le chainage des demandes augmente le délai de traitement.

Avec le Shared Memory Versioning, chaque valeur de document.cookie est associée à une version. De plus, chaque moteur de rendu met en cache sa dernière lecture de cette valeur, toutes les versions étant hébergées dans une mémoire partagée. Selon Google, les sites peuvent toujours accéder à la dernière version, réduisant de 80 % les messages inter-processus et de 60 % les accès à document.cookie.

Faut-il s’attendre à une hausse révolutionnaire des performances ? Non, car sur les sites les plus lents (et utilisant très mal les cookies), le gain de rapidité est d’environ 5 %. Une petite différence donc, que l’on retrouvera bientôt dans tous les autres navigateurs basés sur Chromium.

Pas responsable, pas coupable ?

L’association de Max Schrems a déposé deux plaintes contre Microsoft US auprès de la CNIL autrichienne à propos de la suite 365 Education utilisée dans certaines écoles autrichiennes. noyb accuse l’entreprise d’enfreindre le RGPD en manquant de transparence, en utilisant des cookies de tracking et en traitant des données des élèves sans leur consentement, tout en rejetant la responsabilité des traitements des données sur les écoles.

noyb se penche sur l’utilisation de Microsoft 365 dans le système éducatif. Depuis le début de la pandémie de Covid-19, l’utilisation des services numériques dans l’éducation a explosé et un certain nombre d’écoles européennes ont choisi de prendre des solutions de services dans le cloud comme Microsoft 365 Education.

Mais l’association pointe plusieurs problèmes dans l’utilisation de cet outil. Elle considère que Microsoft viole le RGPD qui protège particulièrement les données des enfants. noyb a porté plainte devant l’autorité de protection des données autrichienne, la Datenschutzbehörde, contre l’entité américaine et non sa filiale européenne située en Irlande. Elle insiste même dans l’une des plaintes en précisant que « la plainte n’est pas dirigée contre Microsoft Ireland Operations Limited ».

Les deux cas se situent en Autriche où le ministère de l’Éducation, de la science et de la recherche a signé avec Microsoft un accord-cadre pour l’utilisation de Microsoft 365 Education dans les écoles. Le département de l’Éducation de la ville Vienne a offert, lui, des licences à toutes ses écoles.

Qui est responsable du traitement des données ?

Dans sa première plainte (pdf en allemand, pdf en anglais en traduction automatique), l’association représente une élève d’une école autrichienne. noyb explique que son père demande depuis fin août 2023 à Microsoft et à l’école plus d’information sur le traitement des données collectées, mais n’a obtenu aucune réponse satisfaisante.

Il a d’abord posé des questions à l’entreprise américaine qui lui a répondu (après plusieurs échanges), « nous vous suggérons de contacter l’organisation ou l’école concernée, qui est le responsable du traitement des données dans ce cas ».

De l’autre côté, le directeur de l’école, qui est aussi le responsable du traitement des données, affirme que l’établissement n’utilise dans Microsoft 365 Education que l’email comme donnée personnelle.

Pourtant, les streams de l’élève (vidéos enregistrées via le service « Microsoft Stream » inclus dans Microsoft 365 Education) ont bien été enregistrés lorsqu’elle a utilisé la suite de Microsoft. Des données autres que l’adresse email sont donc bien enregistrées pendant l’utilisation de Microsoft 365 Education.

L’association constate que les informations sur la gestion des données ne sont pas accessibles facilement. « Même l’information sur quelles déclarations et documents exacts sont pertinents concernant l’utilisation de Microsoft 365 Education par la plaignante n’est pas clair », explique-t-elle dans sa plainte.

« Dans le cadre du système actuel que Microsoft impose aux écoles, votre école devrait auditer Microsoft ou lui donner des instructions sur la manière de traiter les données des élèves. Tout le monde sait que de tels arrangements contractuels sont déconnectés de la réalité. Ce n’est rien d’autre qu’une tentative de déplacer la responsabilité des données des enfants aussi loin que possible de Microsoft », a déclaré l’avocate de noyb, Maartje de Graaf.

Des cookies de tracking sans consentement de l’élève

Dans la deuxième plainte (pdf en allemand, pdf en anglais), dans laquelle noyb représente aussi une élève autrichienne (sans pour autant qu’on sache si c’est la même, anonymisation oblige), l’association reproche à Microsoft l’utilisation de cookies de tracking dans Microsoft 365 Education.

noyb explique avoir trouvé des cookies suite à l’utilisation de la suite par la plaignante alors qu’elle n’y a pas consenti. Dans sa plainte, l’association affirme que la documentation envoyée par Microsoft elle-même à ce propos explique que ces cookies sont utilisés pour du « tracking », analysent le comportement des utilisateurs, collectent des données de navigation et sont utilisées à des fins publicitaires.

Selon Felix Mikolasch, un autre avocat de noyb, « notre analyse des flux de données est très inquiétante. Microsoft 365 Education semble traquer les utilisateurs quel que soit leur âge. Cette pratique est susceptible d’affecter des centaines de milliers d’élèves et d’étudiants dans l’UE et l’EEE. Les autorités devraient enfin agir et faire respecter les droits des mineurs ».

Contactée par Next, Microsoft n’a pas encore répondu à nos questions. À nos confrères de TechCrunch, l’entreprise a répondu que « M365 Education respecte le RGPD et les autres lois applicables en matière de protection de la vie privée et nous protégeons scrupuleusement la vie privée de nos jeunes utilisateurs. Nous sommes heureux de répondre à toutes les questions que les agences de protection des données pourraient avoir à propos de l’annonce d’aujourd’hui ».

Hier, l’ANFR et l’ACMOSS (Agence des communications mobiles opérationnelles de sécurité et de secours) ont signé « une convention de partenariat relative à l’exploitation de données techniques collectées par l’application mobile OpenBarres ».

Via cette dernière, l’ACMOSS va pouvoir accéder aux données anonymisées des smartphones connectés au Réseau Radio du Futur (RRF). Cela comprend les coordonnées géographiques des points de mesures, les niveaux de réception des champs mesurés, l’opérateur du réseau, etc.

But de l’opération : « optimiser sa connaissance des réseaux de téléphonie mobile déployés dans les départements français pour le bénéfice des différents services de sécurité et de secours […] L’analyse de ces informations participera à un renforcement du service haut débit du RFF avec la carte SIM ACMOSS qui va couvrir les quatre réseaux mobiles ouverts au public ».

Le Réseau Radio du Futur (RRF) est un « réseau très haut-débit [4G puis 5G, ndlr] souverain des services de sécurité et de secours », rappelait le ministère de l’Intérieur en 2022. Il permet en effet à l’ensemble des acteurs de la sécurité et du secours « de communiquer instantanément les uns avec les autres en bénéficiant de nouvelles fonctionnalités : appels vidéo, partage de position en direct, envoi d’électrocardiogrammes, etc ».

Il s’agit de moderniser les équipements « radio conçus au début des années 1990, propres à chaque force, et qui ne permettent pas la transmission d’importantes quantités de données ou d’images en temps réel depuis le terrain ».

Cette année, le RRF devient « l’épine dorsale des communications opérationnelles des services de sécurité, de secours et des acteurs de la gestion de crise », selon le ministère.