Google a modifié sa bannière liée aux cookies. Son déploiement a commencé sur YouTube et va s’étendre au site principal. Ce changement important – et attendu – fait suite à l’enquête et à la condamnation par la CNIL en janvier. Il sera répercuté dans toute l’Europe.
En janvier, la CNIL a condamné Google à une amende de 150 millions d’euros. Elle faisait suite à une procédure débutée en mars 2020 et visait alors à vérifier la conformité des traitements mis en œuvre avec les règles fixées à l’article 82 de la loi de 1978 modifiée, relatif aux cookies.
En décembre suivant, une première amende de 100 millions était assénée à Google face à d’évidents manquements. Google avait attaqué cette décision devant le Conseil d’État, procédure rejetée le 4 mars 2021. Le mois suivant, Google avait procédé à plusieurs changements dans sa bannière, et la CNIL s’en estimait alors satisfaite.
Seulement voilà, le dossier ne fut pas refermé, car la Commission fut saisie de plusieurs nouvelles plaintes. Cette fois, il n’était plus question de l’information aux internautes, mais des modalités de refus des cookies. En somme, Google permettait bien de refuser les cookies, mais la méthode pour y parvenir était juste par trop rébarbative. Une deuxième procédure fut donc lancée, aboutissant à l’amende de janvier dernier.
Google a donc révisé sa copie pour la deuxième fois.
De cinq actions pour le refus à une seule
Le cœur du problème était le nombre d’actions pour parvenir au refus total des cookies. Une grande majorité de sites, conscients sans doute de l’agacement croissant de la population, a adopté une approche très simple : proposer un bouton « Tout refuser » ou un lien « Continuer sans accepter ». L’absence d’acceptation, au regard du RGPD, équivaut à un non, puisqu’elle doit être donnée explicitement.
La première bannière révisée de Google proposait ainsi deux boutons : « J’accepte » et « Personnaliser ». Pour refuser les cookies – dans le cas d’une visite sans compte connecté ou depuis une session de navigation privée – il fallait plonger dans les options, décocher les trois catégories de cookies (personnalisation de la recherche, historique YouTube et personnalisation des annonces) puis valider.
Google apparaissait donc comme très en retard sur les pratiques, et d’autant plus que les sites réclamant de tout paramétrer manuellement se faisaient rare. Ce mécanisme paraissait si dépassé – voire obsolète – qu’il ne faisait plus que proclamer au monde la gourmandise de Google pour les données personnelles.
La nouvelle bannière est nettement plus simple, avec trois boutons : « Tout accepter », « Tout refuser » et « Plus d’options ». Le deuxième fait toute la différence, puisque l’on peut refuser d’un clic tous les types de cookies proposés par Google. Le troisième permet d’accéder aux mêmes options que précédemment. On peut avoir envie par exemple de garder la personnalisation des recherches et l’historique YouTube, mais pas la personnalisation des annonces.
Un déploiement en cours dans toute l’Europe
« Cette année, les autorités réglementaires qui interprètent les lois européennes imposant ces bannières, notamment les autorités chargées de la protection des données en France, en Allemagne, en Irlande, en Italie, en Espagne et au Royaume-Uni, ont mis à jour leurs directives en matière de conformité. Nous nous sommes engagés à respecter les normes de ces directives actualisées pour tous nos produits et nous avons collaboré avec un certain nombre de ces autorités », explique Google dans son billet d'annonce.
Pour l’entreprise, c’est à la suite de conversations avec les entités de contrôle et « conformément aux directives spécifiques » de la CNIL que la refonte est intervenue. Il n’est bien sûr fait mention ni des enquêtes de celle-ci, ni des amendes.
La France a les honneurs du déploiement, sans doute là encore en conséquence de la condamnation en janvier. Pour l’instant, seule une partie des utilisateurs est concernée sur YouTube. Pour rappel, on ne peut voir ce nouveau panneau que si l’on n’est pas connecté au compte Google ou que l’on navigue en session privée. Prochainement, il apparaîtra aussi sur le moteur de recherche, dans les mêmes conditions.
Elle sera également déployée dans le reste de l’Europe, ainsi qu’au Royaume-Uni et en Suisse.
Le consentement de l’utilisateur ? « Mouais »
Le sentiment de Google vis-à-vis de ce changement apparaît clairement dans sa communication. Si la première partie du billet est factuelle et technique, la dernière ne laisse aucun doute : l’entreprise américaine se serait bien passée de toute cette histoire.
Elle explique ainsi que cette mise à jour a nécessité une refonte du fonctionnement des cookies sur tous ses sites. Ce qui aurait nécessité des « changements majeurs et coordonnés » sur toute son infrastructure.
Et il y a des conséquences. Pas seulement pour Google, mais aussi pour « les sites et les contenus de créateurs qui reposent sur les cookies pour accroître leur activité et générer des revenus ». Une argumentation qui, si elle comporte nécessairement une part de vérité, rappelle de près celle de Facebook face à l’arrivée du consentement explicite des utilisateurs sur iOS pour le suivi publicitaire.
De fait, Google estime avoir répondu « aux nouvelles exigences réglementaires », mais glisse quand même que ces changements « s’inscrivent dans la continuité des efforts effectués » pour atteindre son objectif : « construire un Internet robuste et durable ».
Pour finir sur une note plus joyeuse, Google rappelle s’être engagée à concevoir des « technologies respectueuses de la vie privée dans le cadre de la Privacy Sandbox ». « En effet, nous pensons qu’il est possible de donner aux entreprises et aux développeurs les moyens de pérenniser leurs activités en ligne sans compromettre la confidentialité des données personnelles des internautes », conclut Google.
L’entreprise ne semble pas appréhender la différence entre confidentialité des données et la collecte en elle-même. Ou fait très bien semblant.
On attend également la réaction de Facebook, condamnée par la CNIL à une amende de 60 millions d'euros le même jour pour les mêmes raisons.
Commentaires (38)
#1
Ok sur la bannière, mais sur le fond, les données collectées par différents services se n’est pas gagné. Voici quelques exemples qui me dérangent sous Android :
*) si l’on veut contrôler sa musique (Spotify, mais ce doit être pareil avec les autres) depuis Maps, alors il faut donner accès à Google à tous notre répertoire et historique musical. Il n’y a aucun niveau intermédiaire de simple contrôle de la lecture.
*) si l’on veut utiliser une application de coach sportif, elle va se connecter à un Google Sport (ou Health), qui va se connecter à un dispositif sportif via l’application du fabriquant de la montre connectée. Et en passant Google récupère tout l’historique sportif sur des années. Je n’ai pas trouvé de moyen de limiter l’échange de données, à la période actuelle ou future, ou celle d’utilisation du Coach.
*) si l’on veut connecter sa montre connectée en BlueTooth Low Energy, depuis android 9, il faut allumer la localisation. Il ne le fallait pas en android 8, ni en 10. Mon téléphone étant bloqué en 9 par le fabriquant, je suis obligé de partager ma position avec Google. Note : je le faisais avec Maps de temps en temps, mais là je suis obligé simplement pour réaliser une connexion technique.
Les exemples doivent être nombreux. Je ne vois aucune minimisation des données dans ces approches, je ne vois pas le respect du RGPD.
#1.1
Je comprends rien à Android. Ils n’avaient pas annoncé être super en faveur de la vie privée et du contrôle fin de celle-ci sur Android ?
La navigation privée ne prémunis pas des cookies et autres méthodes de tracking. Ça supprime seulement tout lorsque tu fermes la fenêtre (parfois l’onglet) du navigateur. C’est tout.
#1.2
Tout l’intérêt des cookies étant qu’ils soient persistants, la navigation privée, en les supprimant, te prémunit de beaucoup de leurs nuisances.
#1.3
Le but de mon propos n’était pas de dire que la navigation privée l’évite (à aucun moment je ne l’ai dit), mais de démontrer dans une session vierge que malgré le choix du refus, le dépôt avait quand même lieu.
Cf le premier paragraphe de mon message.
#1.4
Effectivement pas dit explicitement mais alors la construction de ta phrase le laisse penser :
« Au hasard je vais sur google.fr en navigation privée, je me prends des cookies de Google Ads quand même avec expiration en octobre. »
Si l’on reformule on peut avoir quelque chose comme « alors même que je vais au hasard sur google.fr en navigation privée, je me prends des cookies de Google Ads quand même avec expiration en octobre. ».
C’est la raison de mon commentaire ainsi que d’autres à propos de la navigation privée.
#1.5
En retirant la phrase de son contexte, oui. Dans le contexte, elle est dans la suite logique de mon propos.
Le contexte est toujours important.
#2
perso j’ai trouvé ça totalement useless en plus de perdre le contrôle des commandes directement à partir du volant, obligé de passer par l’appli maps du téléphone
#2.1
Oui dans cas (Maps & Spotify) c’était facile de refuser, car comme l’indiques cela me semble aussi plus pratique avec les commandes de la voiture.
Par contre, pour participer à un challenge sportif et émulatif dans mon entreprise, j’ai accepté une collecte sans comprendre qu’il n’y avait strictement aucune limite temporelle à la collecte de mes données sportives/santé par Google.
Idem pour ma montre connectée.
#3
Lourdes amendes CNIL à l’encontre des cookies Google…
heu..
(les mots ont un sens)
#3.1
Amendes Françaises vs bénéfice mondial
#3.2
et alors ?
*c’est ce qui va dans la poche de “Google”, ET de là : il doit sortir
150 millions !
#4
Il était grand temps.
Cela dit, du fait précisément de cette ubuesque contrainte de refus des cookies, j’avais totalement cessé d’utiliser les services de Google.
(Et oui c’est possible. Le plus ennuyeux reste YouTube, mais là encore, on peut faire sans.)
#5
Et quand on voit que les boutons “Refuser tout” déposent quand même des cookies de tracking (y’en a qui se sont fait chopper pour ça)…. Un nettoyeur automatique reste une obligation.
Au hasard je vais sur google.fr en navigation privée, je me prends des cookies de Google Ads quand même avec expiration en octobre.
De nos jours, on a moins de risques d’aller aux péripatéticiennes sans capote que de surfer sur le Web. Monde de merde.
#6
Le problème est que dans certains cas, accéder au Bluetooth permet de déduire la position, donc Google avait rendu le Bluetooth soumis à l’autorisation du partage de position (pour que. l’utilisateur soit conscient qu’activer le Bluetooth peut permettre à l’appli de déduire la position)..
Il n’est pas exclut qu’il y ait aussi eu une volonté cachée de pousser les utilisateurs à partager plus leur position, mais leur décision avait du sens. De toute manière, les services Google Play ont leur propres permissions et n’ont pas nécessairement besoin que l’utilisateur autorise une autre appli pour accéder à la position.
Ils ont changé ça récemment et permettent aux applis d’accéder au Bluetooth sans demander la permission de localisation (mais avec des contraintes sur le Bluetooth au niveau des APIs Android), et, sur le Play Store l’interdiction de l’utiliser pour déduire la position si l’appli ne demande pas cette permission.
#6.1
Ton explication se tient, merci.
Cela semble limité au bluetooth Low Energy, car le bluetooth (normal autoradio) fonctionne sans localisation.
#6.2
Probablement car le Bluetooth classique nécessite un appairage, alors que les “beacons” BLE peuvent potentiellement être utilisés par l’appli d’un magasin pour localiser le client dans le magasin, par exemple. (ou simplement pour savoir que le client est présent, voir le traquer de commerce en commerce).
#6.3
est présent, voir le traquer de commerce en commerce..
à la rigueur “savoir si tu es présent DANS le magasin” (ou pas) ?
bon…passe encore, MAIS épier les gens dans leurs déplacements, on vit où ?
moi qui pensai qu’on était libre d’aller-et-venir ?
apparemment NON !!!
#6.4
Il me semble que ça n’est pas légal en UE avec la GDPR , mais ça le serait aux US si Google l’autorisait sur le Play Store.
Le pire est qu’en théorie l’appli d’un magasin n’est pas nécéssaire, il suffi d’une appli ayant l’autorisation Bluetooth et utilisant un SDK de tracking faisant remonter à un serveur les infos sur les beacons BLE reçus.
Il y a quelques années, quand les smartphones protégeaient assez mal le Bluetooth (en diffusant à tous le monde la même adresse MAC par ex.), le tracking de clients en magasin par Bluetooth était un business florissant.
#7
Faut encore t’expliquer comment ça marche (et surtout ce que ce n’est pas), la navigation privée ?
Sinon, ces fameux cookies dont tu parles ici, ils sont peut-être marqués pour expirer en octobre, mais ils seront supprimés quand tu fermeras ta fenêtre de navigation privée (c’est uniquement à ça que ça sert : faire le ménage complet à la fermeture ; pas empêcher le caca d’entrer).
Le RGPD (car le règlement), en français. Enfin, tu pourrais dire « la réglementation », mais ce sigle est généralement employé au masculin.
#8
Le ton de ce message était réellement nécessaire ?
Le but de la navigation privée dans mon propos était de partir d’une session vierge pour constater le dépôt de cookies malgré le refus, rien de plus.
Je suis quelqu’un d’ouvert à la rectification en cas d’erreur en général, donc inutile d’écrire de manière aussi désagréable et condescendante.
#8.1
d’où..l’importance de mettre des balises AV., pour prévenir qu’on va rectifier le tir
ce que je trouve normal : une erreur DOIT être rectifiée, plutôt que de laisser, les gens, dans
l’ignorance des mots !
#8.2
Surtout que, pour le coup, je pense que mon propos était clair.
Bref, rien ne justifie l’agressivité, mais il faut croire que c’est devenu la norme des échanges.
#9
Là encore il est gentil…. Sur hardware.fr, il peut être bien plus désagréable.
C’est un peu un boulet en puissance, un no life qui pète les plombs régulièrement..
#9.1
Comme n’importe qui. Ne te crois pas à l’abri d’une « boulétude » ponctuelle, toi aussi.
Maintenant, si t’as un problème avec moi, aie au moins le courage de venir t’adresser directement à moi, merci.
#10
Ça se moque du montant de l’amende, n’empêche qu’ils ont pas maintenu leur position et qu’ils ont corrigé le tir; comme quoi cette réglementation fait bouger des choses.
#11
Dans le fond, ces les bandeaux qui pullulent ne sont pas une solution pérenne.
Je vois 2 possibilités à long-terme :
#12
Oublierais tu que tu m’as bloqué depuis longtemps sur hfr ?
Je ne suis pas le seul à te faire remarquer le ton condescendant et agressif de tes messages.
A un moment donné, il faudrait balayer devant ta porte.
C’est pas ma faute si tu as une vie de merde et on ne devrait pas en subir les conséquences.
#13
La grande distribution n’a pas attendu le BLE pour connaître avec précision les déplacements et comportement de chaque client dans le magasin. Et c’est parfaitement l’gal, il y a à l’entrée un panneau que l’établissement est bourré de caméras.
#13.1
DANS le magasin, passe encore (t’es prévenu, si ça te gêne : tu n’y entres pas)
MAIS, te fliquer–> NON !
#13.2
Mais à quoi servent les caméras dans les hypermarchés à part te fliquer ?
On trace, et ce depuis des années, le parcours individuel de chaque client dans le magasin.
#14
Ici n’est pas le lieu pour ça, et je suis joignable par bien d’autres canaux. Mais si c’est pour recevoir des messages du même acabit, je pense pas que je vais te laisser le faire sur HFR. Déjà que j’ai été à deux doigts de signaler ton message d’insultes de tout à l’heure (mais ne pas l’avoir fait ne te met pas à l’abri de te le faire
sucsworder quand même)…C’est autant ta faute que ça te regarde : pas du tout, on est d’accord. Ça te donne pas le droit de venir m’insulter dans mon dos, et sache que je ne trouve pas ma vie aussi pourrie que toi, tu le prétends. J’arrête là, et toi aussi, tu cesses de languedeputer sur mon compte, que ce soit ici, sur HFR ou ailleurs.
#15
https://mobile.twitter.com/TritTriton
Ta vie envoie du rêve..
Une vie passée entre tes mangas et twitter pour parler de mangas…. De temps en temps, un message agressif ici ou sur hfr…
Ne change rien camarade
#16
Faut arrêter le délire…. Ce sont des caméras de sécurité.
#17
Je travaille pour un géant de la grande distribution, tu veux m’apprendre à quoi servent les caméras?
Je t’assure que chaque client est suivi à la trace pour analyser chaque parcours. Et ça se perfectionne à vitesse grand V.
Ainsi les derniers logiciels ne se contentent plus de suivre chaque personne, on sait dire quel produit tu prends en analysant les mouvements de tes bras dans le rayon.
Ca sert, en effet à repérer les voleurs, mais ces données sont donc collectées. Tu crois qu’elles ne sont pas exploitées par le marketing?
Et aujourd’hui, l’analyse des comportements pour optimiser l’implantation des magasins rapporte plus que la lutte contre le vol.
Tu ne me crois toujours pas? Va voir le site de cet éditeur par exemple.
#17.1
Merci pour le lien, très intéressant !
#18
C’est dans ce genre de cas qu’on comprend mieux le terme de vidéoprotection : on protège les bénéfices des magasins
#18.1
C’est clair..
Ce bullshit marketing repris béatement par nos gouvernements.
La vidéoprotection permet, grâce à l’aura magique de la caméra de surveillance d’empêcher les crimes, meurtres et attentats.
Sentez-vous protégés citoyens, grâce à la vidéo-protection ! #coeuraveclesdoigts
#19
Et enfin, ils peuvent améliorer le système des autorisations des applications à chaque nouvelle version d’Android, tout en acceptant encore de vieille applications qui ne l’utilisent pas/s’en moquent. Et dans ce cas doivent-ils privilégier la disponibilité de nos applications habituelles, ou notre contrôle des autorisations ? Et voulons-nous qu’ils choisissent pour nous ?
Et puis certaines de mes remarques concernaient aussi les applications de Google pas seulement Android.