Des groupes de défense des droits des consommateurs en Europe ont déposé une nouvelle série de plaintes en matière de confidentialité contre Google, accusant le géant de la publicité de conception trompeuse autour du processus de création de compte qui, selon eux, pousse les utilisateurs à accepter un traitement étendu et invasif de leurs données.
Le géant de la technologie dresse le profil des titulaires de compte à des fins de ciblage publicitaire, en s’appuyant apparemment sur le consentement de l’utilisateur comme base juridique. Mais la loi phare de l’UE sur la protection des données, le règlement général sur la protection des données (RGPD), prévoit une exigence de confidentialité dès la conception et par défaut, ainsi que des conditions claires sur la manière dont le consentement doit être recueilli pour qu’il soit légal.
D’où le boeuf des groupes de consommateurs – si la conception trompeuse de Google incite les utilisateurs à accepter son suivi.
Ils soutiennent que les choix de conception que le géant de la technologie déploie autour de la création de compte permettent aux utilisateurs d’accepter beaucoup plus facilement le traitement de leurs informations par Google pour les cibler avec des publicités « personnalisées » que de refuser leur consentement à leur profilage à des fins de publicité comportementale.
Voie rapide pour être suivi
Les plaintes soulignent comment des options plus respectueuses de la vie privée – décrites par Google comme une « personnalisation manuelle » – obligent les utilisateurs à suivre cinq étapes et dix clics (« aux prises avec des informations peu claires, incomplètes et trompeuses », comme ils le disent) ; alors qu’il offre une option de « personnalisation express » en un clic qui active tout le suivi, ce qui le rend terrible pour la confidentialité.
Ils soulignent également que Google n’offre pas aux consommateurs la possibilité de désactiver tout suivi en un clic, notant en outre que Google exige la création d’un compte pour utiliser certains de ses propres produits, comme lors de la configuration d’un smartphone Android.
Dans d’autres cas, les utilisateurs peuvent créer volontairement un compte Google – mais, dans tous les cas, le géant de la technologie présente toujours des options biaisées incitant les consommateurs à accepter son suivi.
« Quelle que soit la voie choisie par le consommateur, le traitement des données par Google est non transparent et injuste, les données personnelles des consommateurs étant utilisées à des fins vagues et de grande envergure », affirment également les plaignants dans un communiqué.
La série de plaintes GDPR est coordonnée par le groupe de membres BEUC, alias l’Organisation européenne des consommateurs.
Selon le BEUC, des plaintes ont été déposées auprès des agences de protection des données dans les États membres et les marchés de l’UE, y compris par ses organisations membres en France, en République tchèque, en Norvège, en Grèce et en Slovénie.
Il note également que son membre allemand, le vzbv, a écrit une lettre d’avertissement à Google – avant d’éventuellement intenter une action civile – tandis que des groupes de consommateurs aux Pays-Bas, au Danemark et en Suède ont écrit à leurs APD nationales pour les alerter des pratiques.
Commentant l’action dans un communiqué, Ursula Pachl, DG adjointe du BEUC, a déclaré :
« Contrairement à ce que prétend Google sur la protection de la vie privée des consommateurs, des dizaines de millions d’Européens ont été placés sur une voie rapide vers la surveillance lorsqu’ils se sont inscrits à un compte Google. Il suffit d’une simple étape pour laisser Google surveiller et exploiter tout ce que vous faites. Si vous souhaitez bénéficier de paramètres respectueux de la vie privée, vous devez parcourir un processus plus long et un mélange d’options peu claires et trompeuses. Bref, lorsque vous créez un compte Google, vous êtes soumis à une surveillance par conception et par défaut. Au lieu de cela, la protection de la vie privée devrait être le choix par défaut et le plus simple pour les consommateurs.
Ce n’est pas la première plainte liée aux droits des consommateurs de l’UE concernant les pratiques de Google. Ils ont également déposé une plainte concernant sa collecte de données de localisation en 2018 – mais il a fallu attendre février 2020 pour que le principal superviseur des données de Google dans l’UE, la Commission irlandaise de protection des données (DPC), entame une enquête. Et, plus de 2 ans plus tard, cette enquête de données est toujours en cours.
En mai, le sous-commissaire du DPC, Graham Doyle, a déclaré à TechCrunch qu’il prévoyait de soumettre un projet de décision sur l’enquête sur les données de localisation de Google à d’autres DPA pour examen « au cours des prochains mois ». Cependant, en cas de désaccord sur l’approche de l’Irlande, il pourrait s’écouler encore de nombreux mois avant qu’un accord sur une décision finale consensuelle ne soit atteint. Ainsi, une résolution de cette plainte de longue date pourrait toujours ne pas arriver cette année.
Le DPC n’a toujours pas non plus rendu de décisions sur d’autres plaintes GDPR de longue date contre Google. Comme une plainte majeure concernant sa technologie publicitaire, sur laquelle elle a commencé à enquêter en mai 2019 – et qui est maintenant poursuivie pour inaction.
Une autre plainte – contre l’utilisation par Google du soi-disant consentement forcé sur sa plate-forme mobile Android – remonte à mai 2018, bien qu’il ne soit pas clair si le DPC a jamais ouvert une enquête dans cette affaire. L’organisme français de surveillance de la protection des données, la CNIL, a mené une enquête et a condamné Google à une amende de 57 millions de dollars en janvier 2019 pour manquements à la transparence et au consentement liés à la manière dont il exploite Android. (La CNIL a décidé qu’elle était compétente dans cette affaire puisque les décisions liées à Android étaient probablement prises aux États-Unis, plutôt qu’à Dublin, où se trouve le siège régional de Google.)
Mais l’Irlande n’a pas encore rendu une seule décision GDPR contre Google.
Le BEUC ne cache pas sa frustration face au manque d’application par le DPC des plaintes contre le géant de la technologie.
« Google est un récidiviste », a déclaré Pachl. « Cela fait plus de trois ans que nous avons déposé des plaintes contre les pratiques de géolocalisation de Google et le DPC irlandais en charge n’a toujours pas rendu de décision sur l’affaire. Pendant ce temps, les pratiques de Google n’ont pas changé dans leur essence. Le géant de la technologie effectue toujours un suivi et un profilage continus des consommateurs et ses pratiques donnent le ton pour le reste du marché.
« Nous avons besoin d’une action rapide de la part des autorités car il est inacceptable que l’un des plus grands acteurs ignore le RGPD », a-t-elle ajouté. « Cette affaire est d’une importance stratégique pour laquelle la coopération entre les autorités de protection des données à travers l’UE doit être prioritaire et soutenue par le comité européen de la protection des données. »
Les problèmes liés au suivi des utilisateurs de compte par Google sont distincts du suivi basé sur les cookies du géant de la publicité, où il déploie des technologies pour suivre les utilisateurs sur des sites Web et des applications tiers.
Ce dernier processus a fait l’objet d’autres plaintes de l’UE qui ont conduit à certaines mesures d’application ces dernières années, le chien de garde français de la protection des données infligeant à Google des amendes approchant les 300 millions de dollars pour des violations liées au suivi des cookies en vertu de la directive ePrivacy du bloc – après quoi Google a fait quelques modifications apportées à la bannière de consentement aux cookies qu’elle présente aux internautes en Europe.
Plainte stratégique
La remarque de Pachl sur l' »importance stratégique » de la plainte relative à l’inscription au compte Google fait référence à l’attente du BEUC que l’affaire déclenche le lancement d’une procédure dans le cadre du mécanisme de coopération du RGPD (c’est-à-dire l’article 60), qui, espère-t-il, fonctionnera plus facilement que c’est depuis 2018, date à laquelle la plainte relative aux données de localisation de Google a été déposée.
La raison pour laquelle le BEUC espère maintenant une navigation plus fluide est due à un accord conclu par les APD de l’UE en avril – alias la « déclaration de Vienne » – lorsqu’elles se sont engagées à renforcer leur coopération en matière d’application dans les cas transfrontaliers d’« importance stratégique » du RGPD.
Une plainte contre un géant de la technologie comme Google atteint clairement cette barre. Mais l’ancienne plainte concernant les données de localisation de Google a été aux prises avec un certain nombre de problèmes liés à la coopération qui ont contribué à ralentir l’enquête et à retarder une décision dans cette affaire.
Discutant des changements que le BEUC espère voir appliqués par les régulateurs dans le traitement de cette nouvelle plainte transfrontalière de Google, David Martin Ruiz, chef d’équipe pour la politique numérique de l’organisation, nous a dit : « Nous nous attendons à ce que le traitement des plaintes soit prioritaire car il touche à des pratiques d’un acteur majeur de l’économie de la surveillance qui affectent des millions d’Européens. La première fois, il a fallu environ 6 mois pour nommer l’autorité principale. Aussi, nous attendons une coopération meilleure et plus étroite entre les autorités, par exemple en matière de contrôle de la recevabilité des plaintes, et que cela ne soit fait qu’une seule fois par l’autorité qui reçoit les plaintes. Bien sûr, nous nous attendons à ce qu’une coopération plus étroite et une hiérarchisation stratégique par les autorités concernées conduisent à une enquête rapide et complète sur les plaintes et à une application efficace.
Pourtant, Ruiz a refusé de proposer une prédiction de la rapidité avec laquelle la procédure de coopération révisée sera en mesure de fournir une application contre Google, déclarant: «Il est difficile de mettre un chiffre concret à ce sujet, mais nous espérons certainement que cela prendra moins de temps que celui qui est en cours, et nous ne sommes pas ici dans 3 ans en attendant toujours un projet de décision.
La Commission européenne, qui a également critiqué l’approche des géants de l’adtech en matière de respect des lois européennes sur la protection de la vie privée, a récemment défendu une application réglementaire plus lente dans ces grandes affaires transfrontalières.
Dans une lettre adressée au médiateur européen – qui a examiné le suivi du RGPD par l’exécutif européen à la suite de plaintes concernant la propre surveillance de la réglementation par la Commission – le commissaire à la justice, Didier Reynders, a comparé le niveau de complexité impliqué dans ces grandes enquêtes aux affaires antitrust , l’écriture:
« … il est important de faire une distinction entre les cas qui sont relativement simples et ne nécessitent pas d’enquêtes approfondies et les cas qui nécessitent une évaluation juridique et économique complexe ou qui posent de nouveaux problèmes. Ces affaires complexes, par exemple celles qui touchent à des questions liées au modèle commercial des grandes multinationales de la technologie, peuvent nécessiter plusieurs mois ou années d’enquête, à l’instar de ce qui se passe pour les enquêtes en matière de droit de la concurrence. Ceci est particulièrement pertinent pour l’Irlande puisque nombre de ces sociétés ont leur établissement principal dans cet État membre.
Répondant au point de Reynders, Ruiz a déclaré à TechCrunch : « Nous sommes d’accord et comprenons qu’il s’agit de questions complexes et que les autorités ont besoin de temps pour constituer des dossiers solides. Cependant, nous avons constaté des problèmes qui vont au-delà du temps qu’il faut pour enquêter sur ces cas (par exemple, un DPA réduisant la portée des plaintes lorsqu’il décide d’ouvrir sa propre enquête). De plus, bon nombre des grosses plaintes qui prennent des années ne sont en fait pas des plaintes normales, dans le sens où elles sont déjà étayées par de nombreuses analyses juridiques et des preuves factuelles, visant à faciliter les tâches des APD. De plus, bien sûr, le temps qu’il faut pour résoudre ces cas est aussi une illustration de problèmes plus profonds, comme le manque de ressources suffisantes. Espérons qu’une coopération renforcée et une hiérarchisation stratégique, conformément à la déclaration de Vienne, contribueront à réduire le temps nécessaire pour enquêter sur ces cas. La complexité et le temps qu’il faut pour enquêter ne peuvent pas être une excuse pour l’inaction.
Le BEUC n’appelle pas à des révisions majeures du RGPD pour résoudre le problème de l’application en temps opportun contre les Big Tech. Mais il pousse les APD à apporter toute une série de changements de processus, individuellement et collectivement, afin de résoudre des problèmes tels que le goulot d’étranglement des cas liés à la structure de guichet unique/contrôleur principal des données du règlement, qui a permis le problème de achats de forum.
« En un mot, en ce qui concerne Big Tech, la première étape consiste à arrêter le » goulot d’étranglement « », a-t-il déclaré. «Fondamentalement, les DPA, en particulier une DPA qui surveille de nombreuses entreprises Big Tech, doivent rendre des décisions sur les affaires ouvertes. Et tant la DPA principale que les autres DPA du CEPD doivent être strictes et ambitieuses dans leur interprétation et leur application des règles. De plus, si l’APD principale ne rend pas les décisions, les autres doivent faire pleinement usage de leurs pouvoirs et prendre des mesures urgentes. Il doit y avoir un signal clair à Big Tech que la façade et les mesures de transparence cosmétique ne suffiront plus. Il y a des problèmes fondamentaux dans leurs pratiques commerciales de base qui doivent être résolus, car ils vont à l’encontre de l’essence même du GDPR.
« Bien sûr, il est préoccupant que l’application de la loi n’aille pas aussi vite que les pratiques du marché, et les entreprises changent les choses tout le temps. Il est très important de souligner qu’une entreprise qui peaufine et corrige quelque chose ne doit pas effacer les infractions passées et les laisser impunies, surtout si elles durent depuis des années et qu’elles ont touché des millions de personnes. Sinon, c’est un signal très dangereux que nous envoyons aux entreprises », a-t-il ajouté. « Nous leur dirons ‘il est acceptable d’enfreindre le GDPR tant que vous n’êtes pas pris, et si vous êtes pris, corrigez-le rapidement et il n’y aura aucune conséquence.’ C’est le contraire de ce qui devrait arriver. Les infractions doivent avoir des conséquences. Sinon, il n’y a pas de justice et pas d’effets dissuasifs.