1 points par GN⁺ 2023-10-24 | 1 commentaires | Partager sur WhatsApp
  • Google, qui a grandi grâce à l’Internet ouvert, est critiqué pour avoir proposé un cadre politique au nom de la protection des enfants et des adolescents, tout en soutenant des barrières réglementaires défavorables aux concurrents plus récents
  • Les annonces de Google et de YouTube vont au-delà de principes internes d’entreprise et incluent même un modèle législatif, jugé proche du California Age Appropriate Design Code récemment déclaré inconstitutionnel
  • Les principaux points de friction sont l’assurance de l’âge (age assurance), l’extension de la surveillance parentale et l’obligation d’évaluations d’impact ; des critiques estiment que l’assurance de l’âge n’est, en pratique, qu’une vérification de l’âge sous un autre nom
  • Les grandes plateformes peuvent absorber ce type d’exigences, mais les petits sites et les nouveaux concurrents sont bien plus exposés aux charges juridiques et opérationnelles ainsi qu’au risque de contentieux
  • Comme dans le cas du soutien de Facebook à FOSTA, l’acceptation de la régulation par les grandes plateformes peut conduire à des lois encore plus néfastes et finir par nuire aussi à l’Internet ouvert

Le cadre de Google pour la protection des enfants et des adolescents

La critique du « retrait de l’échelle »

  • Le phénomène par lequel une entreprise innovante devenue prospère utilise les procédures réglementaires pour empêcher les nouveaux entrants de suivre la même trajectoire de réussite est décrit comme le fait de retirer l’échelle
  • Cette dynamique est liée à « l’entrepreneuriat politique (political entrepreneurship) »
    • Il s’agit d’obtenir un avantage personnel et de bloquer les opportunités des concurrents en utilisant le système politique, plutôt que d’innover pour offrir de meilleurs produits aux clients
  • Les grandes entreprises de l’Internet ont grandi grâce à l’Internet ouvert, mais sont critiquées pour avoir soutenu, sous la pression des régulateurs et des médias, des cadres réglementaires défavorables à l’Internet ouvert

Ressemblance avec la loi californienne jugée inconstitutionnelle

  • Le modèle législatif de Google est considéré comme adoptant, dans les faits, une approche proche du California Age Appropriate Design Code
  • Cette loi californienne a été déclarée inconstitutionnelle quelques semaines avant l’annonce de Google
  • Beaucoup ont cru à tort que Google était derrière le recours de NetChoice contre des lois semblables à celle de Californie, mais Techdirt estime au contraire que Google est en position d’absorber les exigences de ce type de loi
  • Les petits concurrents ont plus de mal à assumer les mêmes obligations, ce qui peut faire de ces lois un dispositif relativement favorable à Google

Le poids de l’assurance de l’âge, de la surveillance parentale et des évaluations d’impact

  • Le modèle inclut l’assurance de l’âge (age assurance), l’extension de la surveillance parentale et l’obligation d’évaluations d’impact
  • Même si la formulation affirme qu’il ne s’agit pas de vérification de l’âge (age verification), la structure revient en pratique à estimer l’âge de l’utilisateur et à ajuster l’accès en conséquence
  • Les évaluations d’impact ont déjà été critiquées dans le débat autour de la loi californienne comme un « cauchemar de conformité »
  • Le fait qu’une mesure puisse être une bonne idée lorsqu’elle relève du choix volontaire d’une entreprise ne signifie pas qu’elle doive immédiatement devenir une obligation légale

Les conditions posées par Google pour l’assurance de l’âge

  • Le texte de Google estime que lorsqu’un service comprend l’âge d’un utilisateur, cela peut aider à fournir une expérience adaptée à son âge
  • Il reconnaît en même temps que les méthodes permettant d’évaluer l’âge d’un utilisateur sur différents services impliquent des compromis
    • atteinte à la vie privée
    • collecte et usage supplémentaires de données
    • restriction de l’accès des utilisateurs adultes à des informations et services
  • Si la loi devait imposer une assurance de l’âge, Google propose qu’elle respecte les conditions suivantes
    • être fondée sur le risque
    • préserver l’accès à l’information et aux services
    • respecter la vie privée
    • reposer sur des standards réalisables et interopérables qui préservent la possibilité d’expériences anonymes ou pseudonymes
  • Google propose de limiter les méthodes intrusives reposant sur des identifiants forts comme une pièce d’identité gouvernementale aux services à haut risque, comme l’alcool, les jeux d’argent, la pornographie, ou aux corrections d’âge
  • L’entreprise estime aussi que les technologies d’assurance de l’âge sont nouvelles, imparfaites et en constante évolution, et qu’il faut donc une protection raisonnable de la responsabilité pour les efforts de bonne foi visant à les améliorer et à les déployer

Les critiques adressées à la couverture médiatique

  • The Verge a présenté cela comme une démarche par laquelle « Google demande au Congrès de ne pas interdire les réseaux sociaux aux adolescents »
  • TechCrunch l’a traité comme un lobbying de Google contre une obligation légale de vérification de l’âge pour les mineurs
  • Cette manière de cadrer le sujet est critiquée comme passant à côté de l’essentiel
    • Google ne s’oppose pas tant à la vérification de l’âge qu’il ne propose un mécanisme qui l’impose sous le nom d’« assurance de l’âge »
    • Les petites entreprises pourraient être exposées à des risques de contentieux dans un cadre flou où une certaine marge d’erreur resterait tolérée
  • La présentation comme une « alternative à une interdiction totale des réseaux sociaux pour les moins de 18 ans » masque l’effet possible : en dehors des entreprises les plus grandes et les plus riches, il pourrait devenir difficile de proposer des services aux adolescents

Une dynamique qui rappelle le soutien de Facebook à FOSTA

  • Il y a six ans, Facebook a apporté un soutien total à FOSTA, soutien considéré comme un tournant décisif ayant permis l’adoption de la loi au Congrès
  • Le mouvement actuel de Google est lui aussi présenté comme un cas où une grande plateforme accepte la régulation et modifie l’environnement concurrentiel
  • Lorsque de grandes plateformes envoient le message « nous ne sommes pas opposés à la régulation », cela aide les régulateurs, mais les lois réelles peuvent ensuite empirer et être instrumentalisées
  • Tout comme FOSTA a fini par produire un effet boomerang pour Facebook et pour l’Internet ouvert, l’approche de Google pourrait aboutir au même résultat

Le fardeau qui pèse sur l’Internet ouvert

  • Google était considéré comme une entreprise relativement atypique, continuant à défendre l’Internet ouvert même après que d’autres grands groupes ont choisi de retirer l’échelle
  • Il y avait eu des signes de retrait dans le combat pour la neutralité du Net, mais Google semblait encore participer à la défense de l’Internet ouvert
  • Ce nouveau cadre politique est présenté comme un signal montrant que Google n’a plus l’intention de rester un allié de l’Internet ouvert
  • Même si ces obligations sont supportables pour les grandes plateformes capables d’en assumer la conformité, elles peuvent devenir une barrière à l’entrée pour les petits sites et les nouveaux concurrents

1 commentaires

 
GN⁺ 2023-10-24
Avis sur Hacker News
  • En étant cynique, Google soutient peut-être ce projet de loi parce qu’il estime qu’il obligera à protéger les navigateurs contre des modifications susceptibles d’en affaiblir l’effet
    Il y avait eu un changement dans Chrome dont je ne me souviens plus très bien du nom, une fonctionnalité permettant aux hôtes d’effectuer une vérification de l’intégrité du navigateur
    Ce projet de loi pourrait rendre cette fonctionnalité universelle et obligatoire

    • Tu parles de Web Environment Integrity ? https://en.m.wikipedia.org/wiki/Web_Environment_Integrity
    • Il semble parler de WEI, c’est-à-dire « Web Environment Integrity »
    • Je n’ai pas encore vu d’attaque directe contre l’informatique généraliste, mais on a l’impression que ses ennemis resserrent peu à peu l’étau
  • Il existe une manière plus simple de protéger tout le monde des enfants
    Il suffit de créer au niveau du système d’exploitation un paramètre « n’afficher que du contenu sûr », que seuls les parents peuvent modifier, et de faire en sorte que le navigateur n’ouvre que les pages déclarées sûres pour les enfants via l’en-tête HTTP safe-content: yes
    Les autres sites seraient bloqués par le navigateur
    On pourrait imposer par la loi aux parents d’activer cette option sur tous les appareils utilisés par leurs enfants, et rendre illégal l’envoi d’un en-tête safe-content mensonger
    De plus, lorsque ce paramètre est activé, le système d’exploitation devrait n’autoriser que l’exécution et l’installation d’applications vérifiées comme sûres. Par exemple, il faudrait empêcher l’installation de messageries comme Telegram ou de navigateurs qui ne respectent pas ce paramètre
    Ainsi, il ne serait pas nécessaire de compliquer la vie des adultes avec une vérification séparée

    • Mais que signifie exactement « sûr pour les enfants » ? Je me demande comment on compte inscrire cela dans la loi
      Il y a aussi la question des différences selon les tranches d’âge, ou de savoir si tout bascule d’un coup au moment où l’on atteint 18 ans
      Il existe des exemples évidents de contenus inappropriés, comme la pornographie, mais il y a énormément de contenus avec des niveaux d’adéquation variables, et les opinions divergent aussi sur ce qui est approprié, comme la nudité non sexuelle
      Il est difficile de trouver un consensus universel, et il est tout aussi délicat de décider quoi faire des contrevenants. La police aurait-elle accès à des listes de blocage générales chez tous les FAI ?
      Il existe déjà plusieurs systèmes volontaires qui fonctionnent de la manière décrite. Les rendre obligatoires par la loi serait très difficile
    • Comment définit-on « sûr » ? Quelle est ensuite la procédure pour modifier cette définition ? Que se passe-t-il si les définitions diffèrent d’un pays à l’autre ? À partir de quel moment une personne peut-elle consulter du contenu web « non sûr » ? Comment applique-t-on cette politique, comment identifie-t-on les infractions, et quelles sont les sanctions ?
      Et ce n’est que la partie émergée de l’iceberg
      Une telle politique ne semble pas du tout facile à mettre en œuvre
    • Il existe une solution plus simple et tout aussi efficace
      Les parents achètent un ordinateur portable, et ce sont eux qui détiennent le mot de passe administrateur. Pour modifier les paramètres, il faut ce mot de passe
      Les parents décident alors d’activer ou non cette option pour leur enfant. Si un adulte veut activer un filtre pour son propre usage, très bien aussi
      Il existe déjà toute une industrie qui fait cela n’importe comment. Si Google s’intéressait vraiment à l’amélioration de la situation actuelle, au lieu d’essayer d’imposer aux adultes l’usage d’une identité publicitaire signée cryptographiquement pour consulter le web, il pourrait utiliser son influence sur le crawling du web et les standards web pour améliorer la qualité des filtres de contenu optionnels. Par exemple, créer de meilleures listes de classification de sites, à la manière des listes de blocage publicitaire
      Pour un enfant capable de contourner le bootloader ou de jailbreaker l’appareil fourni par ses parents, les protections au niveau de l’appareil ne fonctionneront pas, mais en pratique il n’existe pas non plus beaucoup de moyens d’arrêter ce genre d’enfants
      Et le fait que cela ne fonctionne pas contre des utilisateurs sophistiqués est un avantage. À un moment donné, les enfants deviennent adultes. De tels dispositifs ne doivent pas pouvoir censurer le flux Internet des adultes
    • Cela pourrait être bien pire. Les enfants pourraient ne plus avoir accès à Internet, sauf à des sites conçus uniquement pour soutirer de l’argent à leurs parents
    • Pourquoi « imposer par la loi aux parents d’activer cette option sur tous les appareils utilisés par leurs enfants » ? Il suffit de laisser les parents décider. Les moyens de contrôle nécessaires sont alors disponibles
      Plutôt que de rendre illégal un faux en-tête « safe content », on pourrait le faire signer cryptographiquement. Tout ce qui n’a pas d’en-tête signé valide serait considéré comme « réservé aux adultes »
  • La solution simple pour « protéger » les enfants sur Internet, c’est de laisser les gens, et non les entreprises, décider de ce qu’ils voient sur les plateformes
    Par exemple, YouTube pourrait proposer une option de liste blanche de chaînes, ou permettre aux utilisateurs de définir par des règles quels contenus entrent dans leur fil
    Ainsi, lorsqu’un parent veut contrôler ce que voit son enfant, il configure un compte avec des règles de contenus autorisés. Google n’a pas besoin de s’ériger en nounou
    Mais ce genre de solution technique très simple gêne la vente des utilisateurs aux annonceurs. Voilà pourquoi on en est là

    • C’est vraiment triste que les parents et les communautés n’assument plus la responsabilité de simplement ne pas laisser les enfants aller sur Internet
      Il suffit de ne pas donner de smartphone à un enfant et de ne pas le laisser utiliser un ordinateur sans surveillance
      Si l’on craint que des camarades de classe lui montrent quelque chose, la plupart des écoles n’autorisent pas les téléphones pendant les cours de nos jours, donc il suffit d’aller le chercher dès la fin de l’école. Dans le pire des cas, il verra une dizaine de minutes de porno hardcore par jour, mais c’est une hypothèse assez absurde
      Ou alors on peut inculquer à l’enfant de bonnes valeurs et de bons comportements pour qu’il évite ce genre de choses de lui-même
    • Je regrette de ne pas connaître davantage de sites avec de la modération comme HN, du moins parmi les sites grand public
      C’est bien de pouvoir voir ici les commentaires [dead], car cela permet de comprendre ce qui n’est pas autorisé actuellement et ce qui est traité comme du spam
      Il me semble que Scott Alexander a écrit un billet de blog sur la différence entre modération et censure, et c’est proche de ce qui est proposé
  • Cela peut être une menace, mais on voit aussi des faiblesses. Google vacille
    Cela fait des années que Google, et surtout ce qu’ils produisent, ne m’impressionne plus. La recherche a l’air intéressante, mais ne se traduit pas vraiment en progrès concrets, et Google s’accroche désespérément
    Créer des produits nouveaux et intéressants ne semble plus être une voie possible. Désormais, on dirait qu’ils ne peuvent plus faire autre chose, pour survivre, que jeter leurs jouets afin que personne d’autre ne puisse jouer avec
    Le navire est gros, donc il mettra du temps à couler, mais il finira par couler

  • En fin de compte, ils veulent vraiment pousser cette connerie de Web Environment Integrity ? S’ils vendent ça aux politiques comme de la « protection des enfants », ce sont vraiment des ordures

    • Microsoft Edge finira-t-il aussi par le prendre en charge ?
  • Google suivait cette voie depuis longtemps, et ne s’arrêtera pas tant que le Web ne sera pas devenu comme la télévision câblée
    Chaque recoin sera infesté de publicité, et les contenus seront rabotés pour viser le plus petit dénominateur commun du plus grand nombre
    Il aurait fallu le démanteler en entreprises plus petites il y a 20 ans

    • J’ai évité Google comme la peste
      Si je remonte à l’époque où j’ai installé Debian pour la première fois, en 2000, avec le recul, j’ai l’impression que les choses ne pouvaient que prendre cette direction dès le départ
      C’est le même chemin qu’ont emprunté tous les autres secteurs. Au final, cela revient à remettre tout le pouvoir à une poignée de grandes entreprises
      Le principal problème, c’est que même s’il existe des gens passionnément opposés à cela, les initiatives de Google risquent fort de se poursuivre longtemps après qu’aucun individu ni groupe ne sera encore en mesure de leur résister
      Au passage, c’est l’une des raisons pour lesquelles on estimait autrefois que les entreprises ne devraient pas être autorisées à exister aussi longtemps qu’aujourd’hui. À l’origine, elles étaient censées avoir une date d’expiration
      Je ne sais pas si démanteler des entreprises comme Google est la bonne décision, mais je suis frappé par la clairvoyance qu’avaient les gens il y a 100 ans, et par le fait que nous continuions malgré tout à permettre ce genre de choses
  • Je vous garantis que ce projet de loi n’aura aucun effet pour atteindre l’objectif qu’il affiche
    Les enfants sont bien plus débrouillards que les adultes ne le pensent, et ils ont beaucoup de temps à consacrer à contourner les obstacles
    Il ne faut jamais sous-estimer le disque dur de porno en torrent qui circule dans le bus

    • Vu les reportages récents selon lesquels les enfants d’aujourd’hui ne savent rien faire d’autre que tapoter sur un écran mobile, il faudrait peut-être au contraire durcir ce genre de restrictions pour les pousser à apprendre le hacking réseau comme à l’ancienne
  • Il est possible de construire un système de vérification d’âge doté des propriétés suivantes

    1. Le site qui veut vérifier l’âge sait seulement que l’âge de l’utilisateur satisfait au critère requis et, sauf dans le cas mentionné au point 2, n’obtient aucune autre information du système de vérification
    2. Le site auquel l’utilisateur présente ses informations d’identité pour prouver son âge ne sait pas pour quel site cette vérification est effectuée. Le site du point 1 sait auprès de quel site l’utilisateur a présenté son identité, mais ne sait pas quand il l’a fait
    3. Même une personne ayant obtenu tous les journaux des deux sites ne peut pas savoir si l’utilisateur a visité le site du point 1
      Il semble inévitable que la vérification de l’âge devienne une exigence sur plusieurs sites. Ceux qui veulent préserver la possibilité de naviguer anonymement ne devraient pas seulement essayer d’empêcher cela : ils devraient aussi exiger que, lorsque cela arrivera effectivement, les sites acceptent des systèmes possédant ces trois propriétés
      1. Un tiers peut savoir quels services l’utilisateur utilise fréquemment, et peut aussi lui refuser ces services
      2. Avec le suivi des appareils, la prise d’empreinte et des données ayant fuité, retrouver l’identité réelle peut devenir un jeu d’enfant
        On ne verrait peut-être que les ressources et les données cryptographiquement liées au fournisseur d’authentification, mais si l’on tient compte des données périphériques d’aujourd’hui, le simple fait d’introduire un tiers devient un problème de sécurité. Sinon, le point 3 est faux en pratique
        La vérification de l’âge est déjà implémentée dans certains services. Je n’utilise plus ces services. Il existe de meilleures alternatives
  • Toute présomption de bonne foi envers Google a complètement disparu. Google semble uniquement vouloir faire du Web son terrain de jeu saturé de publicités

    • Quand la devise d’une entreprise était « Don’t be evil » puis qu’elle a été remplacée par autre chose, à quoi pensaient-ils exactement ? Je dis ça comme ça
  • Cela relève plutôt d’un pragmatisme froid
    L’entreprise a senti le retour de bâton politique et a décidé de faire au mieux avec une mauvaise main. Si c’est ce que veulent les dirigeants, elle soutiendra l’option la moins mauvaise, en quelque sorte
    Mais ce genre d’articles blâme l’entreprise, pas les politiques. C’est vraiment n’importe quoi

    • Vous avez oublié qui finance les politiques et rédige les projets de loi ?
    • Pour être juste, Mike a fait les deux : https://www.techdirt.com/2023/02/22/i-explained-to-a-court-h...
      Ce n’est pas un blogueur approximatif : c’est quelqu’un qui veille clairement à utiliser et couvrir toutes les voies possibles sur ce genre de sujet
      Bien sûr, sur Hacker News, ce qui reçoit des votes penche forcément davantage vers « se plaindre des entreprises tech » que vers « protester auprès d’un juge »