noyb attaque la Privacy Sandbox et accuse Google de mentir à ses utilisateurs

Google a mis en place sa Privacy Sandbox il y a un an, mécanisme annoncé depuis des années et censé permettre la collecte de données tout en préservant la vie privée des utilisateurs. Mais pour noyb, Google utilise un cas extrême de dark pattern en mentant à ses utilisateurs. L'association a porté plainte devant l'autorité autrichienne de protection des données.

Depuis juillet 2023, Google a ajouté à son navigateur Chrome un mécanisme censé améliorer la vie privée autour de la publicité ciblée. Le principe de cette fonctionnalité était annoncé de longue date par l'entreprise pour mettre fin aux cookies tiers.

L'idée n'est pas de supprimer le ciblage publicitaire, mais de remplacer le suivi individuel par un regroupement des utilisateurs par profils de navigation similaires avec l'utilisation par les développeurs des sites en question d'une API de chez Google.

• Chrome 115 signe le lancement de la Privacy Sandbox, qui débutera le 24 juillet

Accusation de mensonge

Mais noyb explique dans son communiqué qu' « alors que le "Privacy Sandbox" est présenté comme une amélioration par rapport au suivi extrêmement invasif par des tiers, le suivi est désormais simplement effectué dans le navigateur par Google lui-même ». Et l'association accuse l'entreprise de mentir dans la présentation de cette fonctionnalité dans son navigateur.

Dans sa plainte (.pdf), l'association considère que, « loin d'être un outil de "protection de la vie privée", le système derrière l'API Sandbox continue de suivre l'historique de navigation d'un utilisateur sur le web. La différence est que le navigateur Chrome lui-même suit le comportement des utilisateurs et génère une liste de "thèmes" publicitaires en fonction des sites web qu'ils visitent ».

« Cela ne reflète pas ce que les consommateurs considèrent généralement comme des "dispositifs de protection de la vie privée" (tels que les bloqueurs de cookies ou de suivi), qui visent à protéger totalement les utilisateurs plutôt qu'à les suivre à la trace par d'autres moyens installés localement et à partager des données avec les annonceurs » commente noyb.

L'association rajoute qu'« au lancement, il existait près de 500 catégories de publicités, telles que "Prêts étudiants et financement des études", "Sous-vêtements" ou "Parentalité", auxquelles les utilisateurs étaient associés en fonction de leur activité en ligne ».

noyb s'appuie notamment sur l'article 4(11) du RGPD qui définit le consentement de la personne concernée, comme « toute manifestation de volonté, libre, spécifique, éclairée et univoque par laquelle la personne concernée accepte, par une déclaration ou par un acte positif clair, que des données à caractère personnel la concernant fassent l'objet d'un traitement ».

Des darks patterns

L'association se plaint que Google utilise des dark patterns pour que les utilisateurs acceptent l'activation de la sandbox. Mais selon l’argumentaire de noyb, « il s'agit là d'un cas extrême : Google ne s'est pas contenté de modifier la couleur ou la taille d'un bouton, il a tout simplement menti à ses utilisateurs ».

Dans la plainte, noyb détaille que « plutôt que d'indiquer clairement qu'il demandait le consentement des utilisateurs pour que leur navigateur les suive, Google a vendu aux utilisateurs l'API Sandbox comme une "fonction de protection de la vie privée". Il s'agit d'un choix délibéré visant à manipuler la compréhension des utilisateurs et à garantir un taux de consentement élevé, les utilisateurs pensant que leur navigateur les protège désormais contre le suivi à des fins publicitaires ».

L'association ajoute à sa plainte des copies d'écran de la version anglaise de ce formulaire :

Dans la version française affichée quand on a ouvert Chrome pour la première fois, le texte est encore moins clair puisqu'il parle d' « annonces » et non de publicités.

L'entreprise a répondu à noyb que :

« Google demande le consentement des utilisateurs, conformément à l'article 6, paragraphe 1, point a), du RGPD, pour la création de rubriques publicitaires dans Chrome. Les utilisateurs peuvent donner ou refuser leur consentement en cliquant sur "Activer" ou "Non merci" … Le consentement concerne la création de sujets publicitaires dans le navigateur" »

Dans la seconde copie d'écran de l'association, on peut voir que l'utilisateur ne peut fermer le formulaire qu'en cliquant sur « Got it ».

Pour Google, « le deuxième écran informe les utilisateurs des nouveaux contrôles dans Chrome concernant deux autres API du Privacy Sandbox ["App-suggested ads" et "Ad Measurement"], qui permettent le reciblage et la mesure des publicités… Le bouton "Got it" sur le deuxième écran ferme simplement la boîte de dialogue, permettant à l'utilisateur d'accuser réception de l'avis ».

Pas encore de suppression des cookies tiers

L'association fait aussi remarquer dans le document déposé devant l'autorité autrichienne « qu'à ce jour, Google n'a pas supprimé les cookies tiers pour la plupart de ses utilisateurs, car l'autorité de marché britannique et l'autorité britannique chargée de la protection des données enquêtent sur ce changement de modèle commercial de Google en tant qu'infraction potentielle aux dispositions relatives à la protection des données et au droit de la concurrence ».

Perfide, noyb ajoute que « si l'API Sandbox a été conçue pour contrebalancer l'élimination du suivi par des tiers pour les utilisateurs de Chrome, il semble que Google ait été plus rapide à mettre en œuvre son propre outil de suivi qu'à supprimer les menaces existantes pour la vie privée des utilisateurs ».

Interrogée par Reuters, Google affirme que « cette plainte ne tient pas compte des importantes protections de la vie privée que nous avons intégrées dans les API de Privacy Sandbox, y compris l'API Topics, et de l'amélioration significative de la protection de la vie privée qu'elles apportent par rapport aux technologies actuelles, y compris les cookies de tiers ».

Le porte-parole a ajouté que « Privacy Sandbox est conçu pour améliorer la protection de la vie privée des utilisateurs et fournir à l'industrie des solutions de rechange au suivi intersite qui préservent la vie privée. Nous avons travaillé en étroite collaboration avec les autorités de régulation de la concurrence et de la protection de la vie privée dans le monde entier, et nous continuerons à le faire afin de parvenir à un résultat équilibré qui convienne aux utilisateurs et à l'ensemble de l'écosystème ».