Vie privée : Google attaqué aux États-Unis, le « privacy by design » fait un pas en Europe

Deux associations attaquent Google devant l'Autorité de la concurrence américaine pour le croisement de ses données avec les cookies de DoubleClick. Un changement mal signalé aux internautes, selon elles. Dans le même temps, la révision de la directive ePrivacy met l'accent sur la vie privée dès la conception (privacy by design).

Hier, les associations Consumer Watchdog et Privacy Rights Clearinghouse ont annoncé attaquer le dernier changement de politique de vie privée de Google, initié le 28 juin (et repéré à l'époque par un agent de la CNIL). Elles ont demandé l'ouverture d'une enquête à la FTC, l'Autorité américaine de la concurrence.

Google tremperait les cookies de DoubleClick dans ses données

Pour les deux groupes, Google a amené les internautes à accepter le changement « de manière très trompeuse », sans obtenir un réel consentement. Ils affirment que Google lie désormais les cookies de suivi avec les données du compte utilisateur. Des données séparées depuis plus de dix ans, quand la société a racheté la régie DoubleClick.

Pour les organismes, l'internaute n'a aucun moyen de le savoir en suivant la formulation de Google, qui a pourtant une grande responsabilité, vu sa position forte dans la publicité en ligne. « Google a poussé les utilisateurs à accepter ce changement de politique de vie privée en le masquant derrière de nouvelles fonctions fournissant plus de contrôle sur les données personnelles. Des internautes crédules l'ont donc accepté en masse » déclarent les deux groupes dans leur plainte commune.

D'autant que refuser le changement demande de cliquer sur « Plus d'options » puis « Pas de changement », plutôt qu'un simple bouton « Refuser ». Dans la déclaration de vie privée, affirme la plainte, la partie indiquant que les cookies de DoubleClick ne sont pas croisés avec d'autres données (sauf accord express) déclare désormais que Google peut combiner les données des services avec celles des applications et sites visités « pour améliorer les services et les publicités proposées ».

Google updated Privacy Policy (June 28) no longer says Opt-in required to combine DoubleClick cookie info with PII pic.twitter.com/qeeCN3EA1d

— Vincent Toubiana (@vtoubiana) 29 juin 2016

Des milliards de dollars de revenus de Google « à récupérer »

L'opération estivale de Google est donc attaquée devant la FTC. Les deux associations demandant l'ouverture d'une enquête, l'arrêt du croisement des données, et que la FTC récupère l'ensemble des revenus publicitaires de Google depuis le changement, fin juin. Cela représente des milliards de dollars, pour une société qui vit principalement de la réclame. 

La raison ? Les deux associations estiment qu'une sanction plus basse n'inciterait pas Google à revoir sa position, étant plusieurs fois qualifié de multirécidiviste. « Les amendes que Google a subies jusqu'ici ne sont que de l'argent de poche pour Google [malgré une sanction de 22,5 millions de dollars en 2012]. Les responsables de l'entreprise considèrent qu'une violation de vie privée n'est qu'un coût de leur activité » affirme Consumer Watchdog

Concrètement, Google violerait la législation fédérale sur le commerce et un accord qu'il a signé avec la FTC début 2011. Il avait suivi la publication de données d'internautes après le lancement du réseau social Google Buzz en 2010, fermé en octobre 2011. Dans cet accord, l'entreprise s'engageait à ne pas tromper l'internaute sur le niveau de confidentialité de ses données et à obtenir un consentement affirmé avant de partager des données avec des tiers, si la politique de vie privée a changé depuis leur collecte.

En Europe, ePrivacy introduit le « privacy by design »

Les soucis pourraient aussi suivre Google en Europe, qui a subi une enquête des CNIL européennes sur un précédent changement de politique de vie privée. Déjà confronté à une salve d'attaques de la Commission européenne, il devrait bientôt avoir à s'adapter à une nouvelle législation.

Un brouillon de la révision de la réglementation ePrivacy, en cours de travail, a fuité il y a quelques jours chez Politico Europe (PDF). Entre autres choses, le futur texte européen prévoit de nouvelles mesures en termes de protection des métadonnées. Celles-ci ne pourraient être retenues que pour des raisons techniques, commerciales (comme déterminer le prix d'un transit Internet) ou selon des obligations légales. Dans le reste des cas, doit les effacer dès que la communication en question est terminée. Cela laisse tout de même un champ de possibilités assez large pour leur collecte.

La protection des données liées au terminal, aux cookies et le respect du consentement sont aussi renforcés. Mais c'est l'introduction d'une définition claire de la vie privée dès la conception (privacy by design) qui risque de faire des vagues. Cela après son arrivée dans le règlement européen sur les données personnelles, adopté en avril dernier. « Par défaut, les paramètres des terminaux mis en vente doivent empêcher des tiers de stocker et de traiter les données déjà présentes dans le terminal et empêcher l'usage des capacités de traitement du terminal par des tiers » affirme le brouillon de directive.

Les cookies tiers à nouveau sur le devant de la scène

Des mesures similaires se retrouvent pour les logiciels, et donc pour les navigateurs qui devraient ainsi désormais désactiver par défaut le stockage des cookies tiers. Une pratique déjà tentée par Mozilla qui s'était alors heurté aux acteurs du marché publicitaire.

Autant dire que les échanges sur ce point promettent d'être nombreux dans les prochains mois, la data étant vu que le nouvel Eldorado. Lors de son coloque annuel, l'IAB France était notamment revenu sur ce texte en évoquant les redondances avec le règlement européen sur la protection des données et le besoin de sécurité juridique des entreprises, qui vont être confrontées à de nombreux changements dès 2018.

IAB a rencontré La CNIL en octobre et se prépare à la révision sur e-privacy "bcp de redondances avec règlement EU" pic.twitter.com/VyZzZhTFJN

— David Legrand (@davlgd) 22 novembre 2016

Ainsi, il faudra voir si cette position est maintenue, assouplie, ou si elle sert à se débarrasser au passage des fameux bandeaux d'information comme l'indiquent nos confrères du JDN. Dans l'idéal, l'utilisateur devrait en effet être informé de la finalité des informations qui sont stockées sur sa machine, et donner un consentement éclairé sur ce point. Mais pour le moment, aucun dispositif à la fois efficace et capable de limiter les abus n'a réussi à voir le jour.

La CNIL mène d'ailleurs des enquêtes sur les pratiques des éditeurs depuis quelques mois, et a annoncé au début de l'été se pencher plus particulièrement sur celles des acteurs de la chaîne de valeur de la publicité. Les conclusions (et les éventuelles sanctions) ne devraient se faire connaître qu'au début de l'année prochaine.

ePrivacy : des métadonnées pas assez protégées

Pour l'eurodéputé Jan Philipp Albrecht, interrogé par Jennifer Baker, le texte ePrivacy apporte des contraintes bienvenues, notamment en passant par un règlement européen, qui s'applique automatiquement, sans transposition dans le droit national. Il regrette par contre que les métadonnées ne soient pas assez protégées, que le marketing direct ne soit pas plus encadré et que retirer le consentement au traitement de données puisse devenir plus difficile que l'accord.

Enfin, l'eurodéputé pense qu'il manque une règle précise sur la rétention des données par les intermédiaires, des lois récentes leur demandant de les garder pour les forces de l'ordre ; comme au Royaume-Uni via le « Snooper's Charter ». Pas un mot n'est non plus écrit sur la nécessité du chiffrement, pourtant essentielle dans un tel texte, estime-t-il.

Dans un billet de blog, la jeune pousse française Cozy estime pour sa part que le privacy by design est « une fausse bonne idée », car elle s'appuie selon elle sur quelques critères précis, et donnant un faux sentiment de sécurité. Les prochaines semaines diront si le futur règlement sera renforcé, alors qu'il doit compléter le GDPR (adopté il y a peu) dans ses angles morts. La première version publique doit être dévoilée le mois prochain, ce qui laisse peu de temps pour d'éventuels changements de fond.