Google fait face à une nouvelle plainte de confidentialité en Europe concernant des publicités qu’il insère dans son service de messagerie Gmail sous le couvert d’e-mails.
Le groupe de défense de la vie privée, noyb, a déposé une plainte auprès de l’organisme français de surveillance de la protection des données, la CNIL, affirmant que le géant de la technologie publicitaire a enfreint les règles de la directive ePrivacy de l’Union européenne sur le marketing direct en n’obtenant pas le consentement des utilisateurs de Gmail pour les publicités qu’il affiche dans leurs boîtes de réception. , ainsi que les e-mails promotionnels auxquels ils se sont inscrits.
La plainte de noyb cite une décision rendue par le plus haut tribunal de l’UE l’année dernière, dans une affaire distincte liée à l’utilisation du courrier électronique pour le marketing direct, qui, selon elle, montre clairement que les publicités affichées dans la boîte de réception d’un utilisateur constituent « une utilisation du courrier électronique à des fins de marketing direct » – qui, selon les règles de confidentialité électronique, nécessite le consentement de l’utilisateur. (Les e-mails publicitaires Gmail ne se distinguent des e-mails authentiques auxquels les utilisateurs se sont inscrits que par l’inclusion d’une étiquette « annonce » et l’absence d’horodatage.)
La plainte affirme que les utilisateurs de Gmail n’ont pas consenti à être spammés avec les publicités de Google – notant que, sous ePrivacy, le consentement aurait dû être obtenu avant que les publicités ne soient affichées dans leur boîtes de réception.
noyb fait également valoir que les exceptions énoncées dans la législation européenne pertinente ne s’appliquent pas ici car les e-mails publicitaires de Google ne sont pas utilisés pour le marketing direct de produits similaires pour lesquels un consentement a été préalablement obtenu.
« C’est assez simple. Le spam est un e-mail commercial envoyé sans consentement. Et c’est illégal. Le spam ne devient pas légal simplement parce qu’il est généré par le fournisseur de messagerie », a ajouté Romain Robert, avocat chez noyb, dans un communiqué.
Google a été contacté pour commenter la plainte.
La CNIL française a été un régulateur actif de Google sur les questions de confidentialité, faisant usage de la compétence qu’elle peut exercer dans le cadre de ePrivacy – qui, contrairement au règlement général sur la protection des données, n’exige pas que les plaintes transfrontalières soient acheminées via une APD principale (dans le cadre de Google cas, la Commission irlandaise de protection des données) – en évitant le goulot d’étranglement du RGPD qui a ralenti l’application de la vie privée contre Big Tech.
En décembre 2020, la CNIL a infligé une amende de 120 millions de dollars à Google pour avoir déposé des cookies de suivi sans consentement – après avoir constaté qu’il avait enfreint les règles de confidentialité électronique. Il a suivi cela avec une autre amende lourde – 170 millions de dollars – en janvier pour des schémas sombres qu’il a trouvé Google se déployant dans les flux de consentement aux cookies.
Ces mises en application françaises d’ePrivacy ont rapidement conduit Google à annoncer une bannière de consentement aux cookies mise à jour en Europe, qui offrait enfin aux utilisateurs une option de premier niveau pour refuser tout son suivi – suggérant qu’une application musclée des lois défendant les droits et libertés des internautes peut faire face au pouvoir de Big Tech .
La CNIL a également réussi à gifler Google avec une application précoce du GDPR, en 2019, avant un changement juridique qui a placé les utilisateurs européens de l’entreprise sous la juridiction de sa filiale irlandaise (au lieu de sa société mère américaine) – garantissant ainsi que les plaintes GDPR ultérieures contre Google a été acheminé via l’Irlande.
D’où la majorité de l’application du RGPD sur les principales plaintes contre Google – comme la légalité de sa technologie publicitaire (une enquête officielle a été ouverte en mai 2019) ; ou ses pratiques de suivi de localisation (sous enquête en Irlande depuis février 2020) – restent dans les limbes alors que les procédures minutieuses du régulateur irlandais se poursuivent. Mais les décisions doivent finir par arriver – en quelques mois ou années.
Il sera intéressant de voir qui arrivera en premier : une décision de la CNIL française sur cette nouvelle plainte de noyb contre le spam publicitaire Gmail de Google (déposée en août 2022) – ou une décision finale de l’Irlande sur l’adtech ou le suivi de localisation de Google.
Entre-temps, noyb a déposé une autre série de plaintes stratégiques contre Big Tech en ciblant les utilisateurs B2B de Google Analytics et Facebook Connect dans toute l’UE – ce qui a conduit à un certain nombre de constatations de violation et d’avertissements des APD contre l’utilisation du logiciel d’analyse de Google, l’organisme de surveillance français a publié en juin des directives qui avertissent les utilisateurs de l’outil de la nécessité d’appliquer des garanties supplémentaires pour garantir que leur mise en œuvre est conforme aux exigences du RGPD sur les transferts de données en dehors du bloc ou bien de passer à une alternative conforme (non Google).
Facebook a également une décision majeure à prendre concernant une plainte de longue date concernant ses exportations de données dans l’UE, déposée à l’origine par le président de noyb – bien avant qu’il ne fonde le groupe de défense de la vie privée.