Connexion
Abonnez-vous

Vie privée : Google attaqué aux États-Unis, le « privacy by design » fait un pas en Europe

Il n'est jamais trop tard

Vie privée : Google attaqué aux États-Unis, le « privacy by design » fait un pas en Europe

Le 20 décembre 2016 à 15h00

Deux associations attaquent Google devant l'Autorité de la concurrence américaine pour le croisement de ses données avec les cookies de DoubleClick. Un changement mal signalé aux internautes, selon elles. Dans le même temps, la révision de la directive ePrivacy met l'accent sur la vie privée dès la conception (privacy by design).

Hier, les associations Consumer Watchdog et Privacy Rights Clearinghouse ont annoncé attaquer le dernier changement de politique de vie privée de Google, initié le 28 juin (et repéré à l'époque par un agent de la CNIL). Elles ont demandé l'ouverture d'une enquête à la FTC, l'Autorité américaine de la concurrence.

Google tremperait les cookies de DoubleClick dans ses données

Pour les deux groupes, Google a amené les internautes à accepter le changement « de manière très trompeuse », sans obtenir un réel consentement. Ils affirment que Google lie désormais les cookies de suivi avec les données du compte utilisateur. Des données séparées depuis plus de dix ans, quand la société a racheté la régie DoubleClick.

Pour les organismes, l'internaute n'a aucun moyen de le savoir en suivant la formulation de Google, qui a pourtant une grande responsabilité, vu sa position forte dans la publicité en ligne. « Google a poussé les utilisateurs à accepter ce changement de politique de vie privée en le masquant derrière de nouvelles fonctions fournissant plus de contrôle sur les données personnelles. Des internautes crédules l'ont donc accepté en masse » déclarent les deux groupes dans leur plainte commune.

D'autant que refuser le changement demande de cliquer sur « Plus d'options » puis « Pas de changement », plutôt qu'un simple bouton « Refuser ». Dans la déclaration de vie privée, affirme la plainte, la partie indiquant que les cookies de DoubleClick ne sont pas croisés avec d'autres données (sauf accord express) déclare désormais que Google peut combiner les données des services avec celles des applications et sites visités « pour améliorer les services et les publicités proposées ».

Des milliards de dollars de revenus de Google « à récupérer »

L'opération estivale de Google est donc attaquée devant la FTC. Les deux associations demandant l'ouverture d'une enquête, l'arrêt du croisement des données, et que la FTC récupère l'ensemble des revenus publicitaires de Google depuis le changement, fin juin. Cela représente des milliards de dollars, pour une société qui vit principalement de la réclame. 

La raison ? Les deux associations estiment qu'une sanction plus basse n'inciterait pas Google à revoir sa position, étant plusieurs fois qualifié de multirécidiviste. « Les amendes que Google a subies jusqu'ici ne sont que de l'argent de poche pour Google [malgré une sanction de 22,5 millions de dollars en 2012]. Les responsables de l'entreprise considèrent qu'une violation de vie privée n'est qu'un coût de leur activité » affirme Consumer Watchdog

Concrètement, Google violerait la législation fédérale sur le commerce et un accord qu'il a signé avec la FTC début 2011. Il avait suivi la publication de données d'internautes après le lancement du réseau social Google Buzz en 2010, fermé en octobre 2011. Dans cet accord, l'entreprise s'engageait à ne pas tromper l'internaute sur le niveau de confidentialité de ses données et à obtenir un consentement affirmé avant de partager des données avec des tiers, si la politique de vie privée a changé depuis leur collecte.

En Europe, ePrivacy introduit le « privacy by design »

Les soucis pourraient aussi suivre Google en Europe, qui a subi une enquête des CNIL européennes sur un précédent changement de politique de vie privée. Déjà confronté à une salve d'attaques de la Commission européenne, il devrait bientôt avoir à s'adapter à une nouvelle législation.

Un brouillon de la révision de la réglementation ePrivacy, en cours de travail, a fuité il y a quelques jours chez Politico Europe (PDF). Entre autres choses, le futur texte européen prévoit de nouvelles mesures en termes de protection des métadonnées. Celles-ci ne pourraient être retenues que pour des raisons techniques, commerciales (comme déterminer le prix d'un transit Internet) ou selon des obligations légales. Dans le reste des cas, doit les effacer dès que la communication en question est terminée. Cela laisse tout de même un champ de possibilités assez large pour leur collecte.

La protection des données liées au terminal, aux cookies et le respect du consentement sont aussi renforcés. Mais c'est l'introduction d'une définition claire de la vie privée dès la conception (privacy by design) qui risque de faire des vagues. Cela après son arrivée dans le règlement européen sur les données personnelles, adopté en avril dernier. « Par défaut, les paramètres des terminaux mis en vente doivent empêcher des tiers de stocker et de traiter les données déjà présentes dans le terminal et empêcher l'usage des capacités de traitement du terminal par des tiers » affirme le brouillon de directive.

Les cookies tiers à nouveau sur le devant de la scène

Des mesures similaires se retrouvent pour les logiciels, et donc pour les navigateurs qui devraient ainsi désormais désactiver par défaut le stockage des cookies tiers. Une pratique déjà tentée par Mozilla qui s'était alors heurté aux acteurs du marché publicitaire.

Autant dire que les échanges sur ce point promettent d'être nombreux dans les prochains mois, la data étant vu que le nouvel Eldorado. Lors de son coloque annuel, l'IAB France était notamment revenu sur ce texte en évoquant les redondances avec le règlement européen sur la protection des données et le besoin de sécurité juridique des entreprises, qui vont être confrontées à de nombreux changements dès 2018.

Ainsi, il faudra voir si cette position est maintenue, assouplie, ou si elle sert à se débarrasser au passage des fameux bandeaux d'information comme l'indiquent nos confrères du JDN. Dans l'idéal, l'utilisateur devrait en effet être informé de la finalité des informations qui sont stockées sur sa machine, et donner un consentement éclairé sur ce point. Mais pour le moment, aucun dispositif à la fois efficace et capable de limiter les abus n'a réussi à voir le jour.

La CNIL mène d'ailleurs des enquêtes sur les pratiques des éditeurs depuis quelques mois, et a annoncé au début de l'été se pencher plus particulièrement sur celles des acteurs de la chaîne de valeur de la publicité. Les conclusions (et les éventuelles sanctions) ne devraient se faire connaître qu'au début de l'année prochaine.

ePrivacy : des métadonnées pas assez protégées

Pour l'eurodéputé Jan Philipp Albrecht, interrogé par Jennifer Baker, le texte ePrivacy apporte des contraintes bienvenues, notamment en passant par un règlement européen, qui s'applique automatiquement, sans transposition dans le droit national. Il regrette par contre que les métadonnées ne soient pas assez protégées, que le marketing direct ne soit pas plus encadré et que retirer le consentement au traitement de données puisse devenir plus difficile que l'accord.

Enfin, l'eurodéputé pense qu'il manque une règle précise sur la rétention des données par les intermédiaires, des lois récentes leur demandant de les garder pour les forces de l'ordre ; comme au Royaume-Uni via le « Snooper's Charter ». Pas un mot n'est non plus écrit sur la nécessité du chiffrement, pourtant essentielle dans un tel texte, estime-t-il.

Dans un billet de blog, la jeune pousse française Cozy estime pour sa part que le privacy by design est « une fausse bonne idée », car elle s'appuie selon elle sur quelques critères précis, et donnant un faux sentiment de sécurité. Les prochaines semaines diront si le futur règlement sera renforcé, alors qu'il doit compléter le GDPR (adopté il y a peu) dans ses angles morts. La première version publique doit être dévoilée le mois prochain, ce qui laisse peu de temps pour d'éventuels changements de fond.

Commentaires (14)

Vous devez être abonné pour pouvoir commenter.

Abonnez-vous
votre avatar

Alors j’ai lu entièrement l’article, très technique et je n’ai pas très bien compris les conséquences de ce changement de politique Google, à part que c’était mauvais pour la vie privée.



Quelqu’un peut-il m’expliquer ? Que va récupéré Google de plus que d’habitude ?

votre avatar

 Google ne récupère rien de plus, mais il transmet maintenant certaines données a une régies de pub qui lui appartient.



Mais ce qui est scandaleux ici (et pourtant d’habitude je trouve la politique de Google plutôt correct), c’est la façon dont l’acceptation de l’utilisateur a été récupéré par Google.

votre avatar







Adhrone a écrit :



Alors j’ai lu entièrement l’article, très technique et je n’ai pas très bien compris les conséquences de ce changement de politique Google, à part que c’était mauvais pour la vie privée.



Quelqu’un peut-il m’expliquer ? Que va récupéré Google de plus que d’habitude ?





En fait il n’y a pas grand chose à comprendre de plus.

Google a fait un croisement de données pour récupérer encore plus d’infos, c’est pas bon pour la vie privée, mais concrètement ça va pas changer grand chose, c’est pour “pour améliorer les services et les publicités proposées”.





Adhrone a écrit :



Que va récupéré Google de plus que d’habitude ?



Le tracking effectué par double click qui aurait échappé à Google “pour améliorer les services et les publicités proposées”.

En gros Google savait déjà ce qui se passait dans la chambre et le salon, mais grâce à ce croisement d’infos, il a aussi accès à ce qui s’est passé dans le garage et la cuisine..


votre avatar

“Les responsables de l’entreprise considèrent qu’une violation de vie privée n’est qu’un coût de leur activité”



Je pense que ce n’est même pas exagéré.

votre avatar

En même temps, “vie privée” et “internet” c’est un peu un oxymore il me semble, Google ou pas… <img data-src=" />



Ce qui me fait marrer ce sont tous ceux qui revendiquent à juste titre le droit à “la vie privée” et qui se précipitent sur les objets connectés depuis le frigo en passant par les chiottes, la salle de bain, la cafetière, le four et même les gosses et les animaux de compagnie… <img data-src=" />



Et ne parlons pas des réseaux sociaux… <img data-src=" />


votre avatar







t0FF a écrit :



&nbsp;Google ne récupère rien de plus, mais il transmet maintenant&nbsp;certaines données a une régies de pub qui lui appartient.



Mais ce qui est scandaleux ici&nbsp;(et pourtant d’habitude je trouve la politique de Google plutôt correct), c’est la façon dont l’acceptation de l’utilisateur a été récupéré par Google.





Totalement en accord avec ça, d’habitude Google fait bien plus preuve de transparence surtout pour un choix optionnel. Ce n’est pas comme des conditions générales qui ne peuvent être refusées.

&nbsp;





maestro321 a écrit :



En fait il n’y a pas grand chose à comprendre de plus.

Google a fait un croisement de données pour récupérer encore plus d’infos, c’est pas bon pour la vie privée, mais concrètement ça va pas changer grand chose, c’est pour “pour améliorer les services et les publicités proposées”.

Le tracking effectué par double click qui aurait échappé à Google “pour améliorer les services et les publicités proposées”.

En gros Google savait déjà ce qui se passait dans la chambre et le salon, mais grâce à ce croisement d’infos, il a aussi accès à ce qui s’est passé dans le garage et la cuisine..





Bon et bien ça ne changera pas ma vie du coup&nbsp;<img data-src=" />



En tout cas merci à vous deux&nbsp;<img data-src=" />


votre avatar

Mais je comprends pas, DoubleClick leur appartient depuis plus de 10 ans, pourquoi ils pourraient pas croiser les infos?

C’est comme si Renault ne pouvait pas croiser sa base avec celle des clients Nissan ou Dacia, non?



Un truc doit m’échapper

votre avatar

Par ce qu’il fallait l’accord des utilisateurs en cas de modifications de la politique relative aux données personnelles. Et que là la méthodes utilisé est trompeuse / caché / pas clean…

Donc non ce n’est pas si simple de premier abord.

votre avatar

En même temps si j’achete un frigo connecté, je veux bien transmettre mes infos a la boite pour qu’il fonctionne, pas qu’il envoi mes infos à la terre entière.

votre avatar

Perso tout ce qui a attrait à Google niveau cookies est systématiquement blacklisté dans Privacy Badger (analytics, doubleclick, etc …), et pareil pour toutes les autres grosses régies pubs, donc bon …

votre avatar

bof bof c’est un peu abdiquer facilement.



Il n’y a pas de fatalité. C’est pas parce qu’internet existe qu’il n’y a plus de vie privée. On a à disposition des outils qui permettent d’améliorer la vie des gens à condition qu’ils soient utilisés d’une manière respectueuse des gens.

&nbsp;il faut simplement encadrer et faire en sorte que les collecteurs respectent le privacy by design et l’autodétermination en matière de données.

votre avatar

Si c’est gratuit c’est que t’es le produit.



<img data-src=" />

votre avatar

Question:

Combien pariiez-vous Google pour ses services ( ex: recherche) en échange d’une garantie de non-utilisation de vos données?

Un abonnement annuel de 120€? 240€ ? Plus ou moins?

en fait, quelle est, d’après vous, votre valeur monétaire et commerciale sur le net?

votre avatar

Une façon simple de communiquer et surfez sur le net tout en protégeant sa vie privée est Pikcio ! Pikcio est développé par la startup française MatchUpBox. Vous pouvez d’ores et déjà télécharger la Beta sur&nbsphttp://pikcio.me/&nbsp;

Vie privée : Google attaqué aux États-Unis, le « privacy by design » fait un pas en Europe

  • Google tremperait les cookies de DoubleClick dans ses données

  • Des milliards de dollars de revenus de Google « à récupérer »

  • En Europe, ePrivacy introduit le « privacy by design »

  • Les cookies tiers à nouveau sur le devant de la scène

  • ePrivacy : des métadonnées pas assez protégées

Fermer