La Quadrature du Net a mis ses menaces à exécution. Elle vient d’initier cinq actions collectives contre Facebook, Google, Apple, Amazon et LinkedIn, en représentation de milliers de personnes. Socle commun ? Le défaut de conformité au RGPD, tout juste entré en application.
Quelques heures seulement après la mise en application du règlement européen sur les données personnelles, l’ONG Noyb.eu, fondée par Max Schrems, a attaqué plusieurs plateformes en ligne. En substance, celui qui a déjà fait tomber l’accord Safe Harbor entre la Commission européenne et les États-Unis, dénonce le « tout ou rien » de leurs conditions générales d'utilisation.
Une stratégie qui serait imposée par Google, Instagram, WhatsApp et Facebook pour contraindre l’utilisateur d’accepter bon nombre de traitements de données personnelles, sans ventilation ni détails.
L’une de ces procédures a été initiée devant la CNIL à l’encontre des CGU Google et Android. Mais celle-ci a désormais un autre chantier sur la rampe. C’est celui que vient de lancer la Quadrature du Net, annoncé pas plus tard que le 16 avril dernier.
Le mode opératoire est différent puisque l’organisation s’appuie sur l’article 80 du RGPD. Cette disposition instaure une action collective en cas de violation des données personnelles. L’idée est simple : des particuliers mandatent une association active dans le domaine de la protection afin d’être représentés.
La Quadrature a activé cette disposition en déposant une réclamation contre Facebook, à la demande de 10 590 personnes, Google (9 973 personnes), Apple (6 880), Amazon Europe (10 065) et LinkedIn (8 540). Qu’est-il reproché à chacun de ces responsables de traitement ?
Les mauvais comportements de l'analyse comportementale
À l’encontre de Facebook, la Quadrature du Net considère que l’analyse comportementale et le ciblage publicitaire mis en musique par cet estomac à données personnelles manquent tout simplement de base légale.
Si le réseau social s’appuie sur le contrat, l’une des justifications autorisées par le RGPD, l’initiative considère que ces opérations sont en disharmonie avec l’objet même du contrat Facebook et des attentes des utilisateurs, à savoir de partager et rester « en contact avec votre entourage ».
Conclusion : « Les traitements d'analyse comportementale et de ciblage publicitaire mis en œuvre par Facebook, tels que décrits ci-dessus, ne sont pas nécessaires à l'exécution du contrat passé avec les personnes concernées, mais sont une contrepartie unilatéralement imposée par Facebook ».
Des cases un peu trop précochées chez Google
Vis-à-vis de Google, la Quadrature pense qu’en vertu des conditions générales d’utilisation, « toute personne utilisant ses services manifeste, du simple fait de son utilisation ordinaire des sites Internet en question (Google Search ou YouTube), sa volonté de donner son consentement à l'analyse de ses activités à des fins de ciblage publicitaire ».
Elle dénonce aussi l’usage de cases précochées, afin pour Google « de vous fournir des recommandations et des résultats de recherche plus pertinents, ainsi que des services Google personnalisés ». Or, à son goût, ces mesures sont en contrariété avec le RGPD, lequel n’a d’yeux que pour les actes de consentement positif.
De même, Google conditionne l’accès à ses services au consentement à certains traitements de données personnelles. « Or, l’analyse de ces données à des fins publicitaires n’est nullement nécessaire à l’exécution des services (…) demandés par les personnes concernées, qui n’ont pourtant pas le choix d’y consentir pour y accéder ».
La firme de Mountain View justifie le ciblage publicitaire par ses intérêts légitimes, une alternative au consentement et au contrat prévue par le RGPD. Critique de la Quadrature : « lorsque, dans ses Règles de confidentialité, Google annonce que "vous êtes libre de revenir sur votre consentement à tout moment", ceci est parfaitement trompeur : le retrait de ce consentement serait sans effet sur la mise en œuvre du traitement qui, d'après Google, pourrait continuer de se fonder sur l'intérêt légitime ».
L’association y voit donc une tromperie rendant le traitement illicite. Elle considère même que cette justification est fragile : ces traitements « ne sauraient (…) se fonder sur un intérêt légitime, car leur objet est d'analyser le comportement et d'établir un profil des utilisateurs à des fins de ciblage publicitaire ce qui, pas plus que le ciblage au moyen de « cookies », ne saurait être autorisé sans consentement préalable de la personne concernée ».
Elle fait état d’autres reproches, notamment envers l’analyse des mails reçus par d’autres personnes à destination d’un abonné Gmail. « Un tel traitement n’est fondé sur aucune relation (consentement ou contrat) entre Google et ces personnes tierces et ne saurait pas plus se fonder sur un quelconque intérêt légitime. »
Apple, Amazon, LinkedIn également visés
Quid d’Apple ? C’est cette fois l’usage d’un identifiant unique pour cerner au plus près l’utilisateur et lui adresser ensuite des publicités dédiées qui est mis à l’index. Là encore, le mécanisme souffrirait de base légale. Selon la Quadrature, il ne pourrait se passer du consentement préalable, libre et explicite de l’utilisateur. Or, que « l’utilisateur puisse mettre à zéro l’identifiant ne saurait en rien constituer un consentement valide – puisqu’il serait donné au moyen d’une case précochée enfouie derrière divers menus ».
Avant-dernier de la liste, Amazon, avec une situation identique. Des analyses comportementales contestées parce qu’elles s’appuient sur le contrat ou l’intérêt légitime, plutôt qu’un consentement explicite des personnes ciblées.
Quant à LinkedIn, enfin, le consentement des utilisateurs est obtenu de façon non libre, d’après la Quadrature, « puisque l’utilisateur n’a pas le choix, au moment de créer un compte, d’accepter ces traitements, alors que ceux-ci ne sont en rien nécessaires à l’exécution du contrat passé avec LinkedIn (dont l’objet principal est la mise en relation professionnelle de ses utilisateurs) ».
Cette désactivation du ciblage publicitaire n’est possible qu’une fois le compte créé, soit trop tard aux yeux de l’association : « Cette possibilité de s’opposer ultérieurement ne saurait en rien corriger le caractère non libre du consentement initialement demandé. Et effet, toutes les options d’opposition aux traitements publicitaires sont, par défaut, activées au moyen de cases précochées, rendant toute sorte de « consentement » (s’il en était) invalide, car reposant sur le silence de l’utilisateur et non sur un acte positif de sa part ».
Pour chacun des acteurs, la Quadrature du Net réclame l’interdiction des traitements épinglés, outre une amende administrative élevée du fait « de son caractère massif, durable et manifestement délibéré de la violation constatée, doit être la plus élevée possible ».
Ces cinq réclamations introduites à la porte de la CNIL ne sont que les premières marches d’une longue épopée. Les traitements étant réalisés à partir des données issues de plusieurs pays européens, la Commission aura à collaborer avec les autres autorités et même à désigner celles qui seront à chaque fois le chef de file, en Irlande ou, pour le cas d’Amazon, au Luxembourg. Soit de longs mois d’attente. En parallèle, LQDN annonce que d’autres actions seront lancées contre cette fois Whatsapp, Instagram, Android, Outlook et Skype.
Commentaires (39)
#1
“« Les traitements d’analyse comportementale et de ciblage publicitaire mis en œuvre par Facebook, tels que décrits ci-dessus, ne sont pas nécessaires à l’exécution du contrat passé avec les personnes concernées, mais sont une contrepartie unilatéralement imposée par Facebook ».”
#2
Résultats dans cinq ans ?
#3
Moi je m’interroge sur ce paragraphe:
Elle fait état d’autres reproches, notamment envers l’analyse des mails reçus par d’autres personnes à destination d’un abonné Gmail. « Un tel traitement n’est fondé sur aucune relation (consentement ou contrat) entre Google et ces personnes tierces et ne saurait pas plus se fonder sur un quelconque intérêt légitime. »
=> De ce que j’en comprends, Google stocke le fait qu’un mail envoyé à un abonné G-Mail (qui lui a donné son consentement , +/- contraint) contienne les adresses mails d’autres personnes (dans le champ To: ou Copy: ) , et que cette info-là pourrait être recoupée par Google (sur la base de cet adresse mail) , sans pour autant que le détenteur de cet e-mail n’en soit conscient ni n’ai donné de consentement.
Le problème, c’est comment prouver ce fait ? Est-ce que, ensuite, ces adresses mails-là vont recevoir des pubs de “partenaires” non sollicités ? Et comment relier ces deux faits ?
#4
#5
Après lecture de la plainte contre Google, je n’ai rien vu sur l’impossibilité de désactiver la recherche vocale sous les nouveaux android, de sorte que, bien que désactivée, la commande “ok google” lance toujours le menu de paramétrage de l’assistant (sauf si le tel est verrouillé et si on a bien coché cette case) …
C’est d’une part inquiétant car cela implique que l’analyse vocale est toujours active, et par ailleurs pénible puisque si le téléphone est déverrouillé n’importe qui peut lancer un “ok google” (sauf là encore à créer son empreinte vocale, impliquant de paramétrer “ok google” et donc de l’activer au moins le temps du paramétrage pour par la suite désactiver… chose que naturellement je ne veux pas faire n’ayant aucune envie de créer mon empreinte vocale “google”)
#6
#7
Pareil.
#8
C’est faisable, et plus ou moins facile selon les téléphones. Personnellement j’ai un Motorola sous LineageOS 14 sans gogole, et un Meizu sous Flyme 6.2 sans gogole également.
Si besoin de gogole, il y a les Open GApps ou une installations ponctuelle des applications avec Yalp store.
#9
C’est bizarre pour Amazon, les recommandations proposées sont souvent à côté de la plaque, et ils ont l’air de ne pas faire n’importe quoi avec mes données personnelles. Peut-être me suis-je trompé…
#10
« Les traitements d’analyse comportementale et de ciblage publicitaire mis en œuvre par Facebook, tels que décrits ci-dessus, ne sont pas nécessaires à l’exécution du contrat passé avec les personnes concernées, mais sont une contrepartie unilatéralement imposée par Facebook ».
Termes du contrat passé entre Facebook et les personnes concernées : “Nous collectons et utilisons vos données personnelles afin de vous fournir les services décrits ci-dessus.” (https://fr-fr.facebook.com/terms )
Après, la notion de “nécessaires à l’exécution” c’est entièrement subjectif. Techniquement ce n’est pas nécessaire. Financièrement c’est nécessaire. Du coup, est-ce nécessaire à la fourniture du service ?
#11
C’est surtout le contenu des mails envoyés vers une adresse GMail qui est le plus marquant.
Prouver est forcément difficile, il faudrait aller physiquement voir le code de leurs applications. " />
#12
Les reproches sont souvent les mêmes en fait : on nous “vend” un service X, et le traitement des données n’est pas en rapport avec ce service.
Par contre je regrette que Microsoft ne soit pas dans le lot : ils demandent un numéro de téléphone pour fermer un compte, et si je ne l’ai jamais fourni, ce n’est pas pour le faire au moment où j’arrête d’utiliser le service " /> D’autant plus qu’un simple e-mail suffirait (ou même le fait d’être connecté au compte).
#13
Outlook et Skype c’est Microsoft.
Le plus fun serait d’attaquer Windows 10 qui est le nouvel aspirateur à donnée de Redmond.
#14
#15
#16
#17
Merci à ses associations citoyennes, car les politiques votent des lois, mais ne font rien derrière pour les appliquer (ils virent les inspecteurs d’entreprise), donc la procédure judiciaire devient la norme aujourd’hui " />
#18
#19
Pareil…
#20
#21
#22
C’est marrant, c’est toujours la même réponse qui revient : en substance, “si c’est gratuit, vous plaignez pas qu’on se finance avec vos données perso”.
Mais le fond du soucis, c’est “ c’est gratuit, alors forcément hein, on se paye sur votre dos, mais on vous le dit pas trop” .. C’est la partie en gras qui fait l’objet de ces plaintes.
#23
Regretter l’absence d’une version payante respectueuse des données n’empêche pas d’être content qu’il existe une version gratuite financée par le traitement des donnée.
Tout comme être prêt à payer pour de la VOD n’empêche pas d’être content que l’accès à la TNT soit gratuit.
#24
Je dirait que c’est plutôt le contenu que le correspondant externe qui est analysé, est-il profilé à son insu ?
Quid de tout mes amis qui refusent d’utiliser Facebook et qui grâce à / par moi ont des Shadow profils malgré tout ? Comment puis-je protéger mes amis des réseaux sociaux que j’utilise ?
#25
#26
#27
#28
Donc pour disposer d’un smartphone tu dois t’assoir sur ta vie privée…
Même si je pense qu’Apple est moins intrusif, mais réservé à des personnes plutôt aisée (800 € l’entrée de gamme).
Et quand on dit vie privée, vu les informations à disposition dans un smartphone (liste de contacts, applications, @ mail, geolocalisation, …) Autant parler de vie publique.
Et franchement, “Installe Lineage”, ça ressemble beaucoup à “Installe Linux” des années 2000 à savoir une solution de Geek.
#29
#30
Ben la RGPD est là pour expliquer que les gens ne doivent pas s’en foutre…
Je ne sais pas si c’est jouable de porter plainte contre Samsung à cause de l’intrusivité d’Android ?
Que google propose des services (de qualité d’ailleurs Google maps est sans doute le GPS le plus efficace, Google Music à le catalogue le plus complet et n’est pour le coup pas moins cher que les concurrents) OK mais qu’il pillent notre vie privée en nous disant, soit vous acceptez soit vous n’avez plus de smartphone… Pas d’accord.
Perso je préfère payer 100 € un windows 7 qu’utiliser un windows 10 gratuit qui enregistre tout ce que je fait avec mon PC (bon un peu moins depuis que MS s’est fait taper sur les doigts).
#31
#32
Faudrait aussi s’intéresser au profilage des grandes surfaces avec les cartes de fidélité et les cartes de paiement qu’elles mettent à disposition… Parce que je ne suis pas sûr que ce soit très propre là dedans. " />
#33
#34
#35
#36
Au fait, et pendant ce temps là, des sociétés qui nous spamment déjà depuis des années ( Capdecision au hasard ), continuent leur sale boulot en toute impunité….
#37
#38
Il faut juste bien penser à désactiver la mise à jour automatique ou ne pas cliquer sur le lien tout mettre à jour…
Il n’empêche que l’application continue de tourner en tache de fond et continue ses acquisitions de données.
#39