Vous n'avez pas encore de notification

Page d'accueil

Options d'affichage

Abonné

Actualités

Abonné

Des thèmes sont disponibles :

Thème de baseThème de baseThème sombreThème sombreThème yinyang clairThème yinyang clairThème yinyang sombreThème yinyang sombreThème orange mécanique clairThème orange mécanique clairThème orange mécanique sombreThème orange mécanique sombreThème rose clairThème rose clairThème rose sombreThème rose sombre

Vous n'êtes pas encore INpactien ?

Inscrivez-vous !

RGPD : la Quadrature du Net traine Amazon, Apple, Facebook, Google et LinkedIn devant la CNIL

Tous pour un, un pour tous
Droit 6 min
RGPD : la Quadrature du Net traine Amazon, Apple, Facebook, Google et LinkedIn devant la CNIL
Crédits : Marc Rees (licence CC-BY-SA 3.0)

La Quadrature du Net a mis ses menaces à exécution. Elle vient d’initier cinq actions collectives contre Facebook, Google, Apple, Amazon et LinkedIn, en représentation de milliers de personnes. Socle commun ? Le défaut de conformité au RGPD, tout juste entré en application.

Quelques heures seulement après la mise en application du règlement européen sur les données personnelles, l’ONG Noyb.eu, fondée par Max Schrems, a attaqué plusieurs plateformes en ligne. En substance, celui qui a déjà fait tomber l’accord Safe Harbor entre la Commission européenne et les États-Unis, dénonce le « tout ou rien » de leurs conditions générales d'utilisation.

Une stratégie qui serait imposée par Google, Instagram, WhatsApp et Facebook pour contraindre l’utilisateur d’accepter bon nombre de traitements de données personnelles, sans ventilation ni détails. 

L’une de ces procédures a été initiée devant la CNIL à l’encontre des CGU Google et Android. Mais celle-ci a désormais un autre chantier sur la rampe. C’est celui que vient de lancer la Quadrature du Net, annoncé pas plus tard que le 16 avril dernier.

Le mode opératoire est différent puisque l’organisation s’appuie sur l’article 80 du RGPD. Cette disposition instaure une action collective en cas de violation des données personnelles. L’idée est simple : des particuliers mandatent une association active dans le domaine de la protection afin d’être représentés.

La Quadrature a activé cette disposition en déposant une réclamation contre Facebook,  à la demande de 10 590 personnes, Google (9 973 personnes), Apple (6 880), Amazon Europe (10 065) et LinkedIn (8 540). Qu’est-il reproché à chacun de ces responsables de traitement ?

Les mauvais comportements de l'analyse comportementale 

À l’encontre de Facebook, la Quadrature du Net considère que l’analyse comportementale et le ciblage publicitaire mis en musique par cet estomac à données personnelles manquent tout simplement de base légale.

Si le réseau social s’appuie sur le contrat, l’une des justifications autorisées par le RGPD, l’initiative considère que ces opérations sont en disharmonie avec l’objet même du contrat Facebook et des attentes des utilisateurs, à savoir de partager et rester « en contact avec votre entourage ».

Conclusion : « Les traitements d'analyse comportementale et de ciblage publicitaire mis en œuvre par Facebook, tels que décrits ci-dessus, ne sont pas nécessaires à l'exécution du contrat passé avec les personnes concernées, mais sont une contrepartie unilatéralement imposée par Facebook ».

Des cases un peu trop précochées chez Google

Vis-à-vis de Google, la Quadrature pense qu’en vertu des conditions générales d’utilisation, « toute personne utilisant ses services manifeste, du simple fait de son utilisation ordinaire des sites Internet en question (Google Search ou YouTube), sa volonté de donner son consentement à l'analyse de ses activités à des fins de ciblage publicitaire ».

Elle dénonce aussi l’usage de cases précochées, afin pour Google « de vous fournir des recommandations et des résultats de recherche plus pertinents, ainsi que des services Google personnalisés ». Or, à son goût, ces mesures sont en contrariété avec le RGPD, lequel n’a d’yeux que pour les actes de consentement positif.

De même, Google conditionne l’accès à ses services au consentement à certains traitements de données personnelles.  « Or, l’analyse de ces données à des fins publicitaires n’est nullement nécessaire à l’exécution des services (…) demandés par les personnes concernées, qui n’ont pourtant pas le choix d’y consentir pour y accéder ».

La firme de Mountain View justifie le ciblage publicitaire par ses intérêts légitimes, une alternative au consentement et au contrat prévue par le RGPD. Critique de la Quadrature : « lorsque, dans ses Règles de confidentialité, Google annonce que "vous êtes libre de revenir sur votre consentement à tout moment", ceci est parfaitement trompeur : le retrait de ce consentement serait sans effet sur la mise en œuvre du traitement qui, d'après Google, pourrait continuer de se fonder sur l'intérêt légitime ».

L’association y voit donc une tromperie rendant le traitement illicite. Elle considère même que cette justification est fragile : ces traitements « ne sauraient (…) se fonder sur un intérêt légitime, car leur objet est d'analyser le comportement et d'établir un profil des utilisateurs à des fins de ciblage publicitaire ce qui, pas plus que le ciblage au moyen de « cookies », ne saurait être autorisé sans consentement préalable de la personne concernée ».

Elle fait état d’autres reproches, notamment envers l’analyse des mails reçus par d’autres personnes à destination d’un abonné Gmail. « Un tel traitement n’est fondé sur aucune relation (consentement ou contrat) entre Google et ces personnes tierces et ne saurait pas plus se fonder sur un quelconque intérêt légitime. »

Apple, Amazon, LinkedIn également visés

Quid d’Apple ? C’est cette fois l’usage d’un identifiant unique pour cerner au plus près l’utilisateur et lui adresser ensuite des publicités dédiées qui est mis à l’index. Là encore, le mécanisme souffrirait de base légale. Selon la Quadrature, il ne pourrait se passer du consentement préalable, libre et explicite de l’utilisateur. Or, que « l’utilisateur puisse mettre à zéro l’identifiant ne saurait en rien constituer un consentement valide – puisqu’il serait donné au moyen d’une case précochée enfouie derrière divers menus ».

Avant-dernier de la liste, Amazon, avec une situation identique. Des analyses comportementales contestées parce qu’elles s’appuient sur le contrat ou l’intérêt légitime, plutôt qu’un consentement explicite des personnes ciblées.

Quant à LinkedIn, enfin, le consentement des utilisateurs est obtenu de façon non libre, d’après la Quadrature, « puisque l’utilisateur n’a pas le choix, au moment de créer un compte, d’accepter ces traitements, alors que ceux-ci ne sont en rien nécessaires à l’exécution du contrat passé avec LinkedIn (dont l’objet principal est la mise en relation professionnelle de ses utilisateurs) ».

Cette désactivation du ciblage publicitaire n’est possible qu’une fois le compte créé, soit trop tard aux yeux de l’association : « Cette possibilité de s’opposer ultérieurement ne saurait en rien corriger le caractère non libre du consentement initialement demandé. Et effet, toutes les options d’opposition aux traitements publicitaires sont, par défaut, activées au moyen de cases précochées, rendant toute sorte de « consentement » (s’il en était) invalide, car reposant sur le silence de l’utilisateur et non sur un acte positif de sa part ».

Pour chacun des acteurs, la Quadrature du Net réclame l’interdiction des traitements épinglés, outre une amende administrative élevée du fait « de son caractère massif, durable et manifestement délibéré de la violation constatée, doit être la plus élevée possible ».

Ces cinq réclamations introduites à la porte de la CNIL ne sont que les premières marches d’une longue épopée. Les traitements étant réalisés à partir des données issues de plusieurs pays européens, la Commission aura à collaborer avec les autres autorités et même à désigner celles qui seront à chaque fois le chef de file, en Irlande ou, pour le cas d’Amazon, au Luxembourg. Soit de longs mois d’attente. En parallèle, LQDN annonce que d’autres actions seront lancées contre cette fois Whatsapp, Instagram, Android, Outlook et Skype.

39 commentaires
Avatar de crocodudule INpactien
Avatar de crocodudulecrocodudule- 29/05/18 à 09:18:03

"« Les traitements d'analyse comportementale et de ciblage publicitaire mis en œuvre par Facebook, tels que décrits ci-dessus, ne sont pas nécessaires à l'exécution du contrat passé avec les personnes concernées, mais sont une contrepartie unilatéralement imposée par Facebook »."

Ils l'ont fait comme annoncé et c'est bien le nerf de la guerre: est-ce que le modèle économique du défonçage de données (et plus particulièrement du profilage) peut être imposé comme nécessaire à l'exécution du service? Ou ce qui est nécessaire à l'exécution sont les données/traitements permettant d'exécuter les fonctionnalités mais pas celles qui financent le coût de fonctionnement (et le bénéfice pour l'entreprise), lorsque au service est gratuit? C'est très délicat car c'est bien tout un modèle économique qui est dans le collimateur. Après je m'interroge sur la capacité de la CNIL a sévir à cette date sur la base de la sanction prévue dans le RGPD... Instruire, enquêter, recommander no problemo mais sanctionner sur la base des 4% du CA j'ai des doutes: la sanction prévue à la fin du RGPD est à mon sens bien trop large et générale (manque d'élément légal) pour pouvoir fonder une sanction, nécessitant des précisions à l'occasion de la réécriture de la LIL par ordonnances du Gouvernement. (En revanche, elle peut je pense se servir des sanctions antérieures existantes, déjà non négligeables, pour décider de condamner).
Édité par crocodudule le 29/05/2018 à 09:20
Avatar de taxalot Abonné
Avatar de taxalottaxalot- 29/05/18 à 09:20:07

Résultats dans cinq ans ?

Avatar de OB Abonné
Avatar de OBOB- 29/05/18 à 09:23:25

Moi je m'interroge sur ce paragraphe:
 
 Elle fait état d’autres reproches, notamment envers l’analyse des mails reçus par d’autres personnes à destination d’un abonné Gmail. « Un tel traitement n’est fondé sur aucune relation (consentement ou contrat) entre Google et ces personnes tierces et ne saurait pas plus se fonder sur un quelconque intérêt légitime. »

=> De ce que j'en comprends, Google stocke le fait qu'un mail envoyé à un abonné G-Mail (qui lui a donné son consentement , +/- contraint) contienne les adresses mails d'autres personnes (dans le champ To: ou Copy: ) , et que cette info-là pourrait être recoupée par Google (sur la base de cet adresse mail) , sans pour autant que le détenteur de cet e-mail n'en soit conscient ni n'ai donné de consentement. 

Le problème, c'est comment *prouver* ce fait ? Est-ce que, ensuite, ces adresses mails-là vont recevoir des pubs de "partenaires" non sollicités ? Et comment relier ces deux faits ?
 

Édité par OB le 29/05/2018 à 09:23
Avatar de anonyme_7c080d0b57a30a99451672cfc228f71f INpactien

taxalot a écrit :

Résultats dans cinq ans ?

On peut effectivement s'attendre à quelques rebondissements et à quelques appels et pourvois et recours judiciaires divers. On n'a pas fini d'entendre parler du RGPD : sortez le pop-corn ou prenez votre mal en patience (il y a le temps médiatique et le temps judiciaire, comme on dit).

Édité par Radithor le 29/05/2018 à 09:29
Avatar de crocodudule INpactien
Avatar de crocodudulecrocodudule- 29/05/18 à 09:32:47

Après lecture de la plainte contre Google, je n'ai rien vu sur l'impossibilité de désactiver la recherche vocale sous les nouveaux android, de sorte que, bien que désactivée,  la commande "ok google" lance toujours le menu de paramétrage de l'assistant (sauf si le tel est verrouillé et si on a bien coché cette case) ...

C'est d'une part inquiétant car cela implique que l'analyse vocale est toujours active, et par ailleurs pénible puisque si le téléphone est déverrouillé n'importe qui peut lancer un "ok google" (sauf là encore à créer son empreinte vocale, impliquant de paramétrer "ok google" et donc de l'activer au moins le temps du paramétrage pour par la suite désactiver... chose que naturellement je ne veux pas faire n'ayant aucune envie de créer mon empreinte vocale "google")

Avatar de eglyn Abonné
Avatar de eglyneglyn- 29/05/18 à 09:38:51

crocodudule a écrit :

Après lecture de la plainte contre Google, je n'ai rien vu sur l'impossibilité de désactiver la recherche vocale sous les nouveaux android, de sorte que, bien que désactivée,  la commande "ok google" lance toujours le menu de paramétrage de l'assistant (sauf si le tel est verrouillé et si on a bien coché cette case) ...

C'est d'une part inquiétant car cela implique que l'analyse vocale est toujours active, et par ailleurs pénible puisque si le téléphone est déverrouillé n'importe qui peut lancer un "ok google" (sauf là encore à créer son empreinte vocale, impliquant de paramétrer "ok google" et donc de l'activer au moins le temps du paramétrage pour par la suite désactiver... chose que naturellement je ne veux pas faire n'ayant aucune envie de créer mon empreinte vocale "google")

Moi je rêve de pouvoir désinstaller toutes ces appli Google dont je me sers jamais... Genre Google Duo, Drive, Play Music, Play film, Photos, play jeux, livre, ggogle+, chrome, etc, etc....)

Avatar de Gilbert_Gosseyn Abonné
Avatar de Gilbert_GosseynGilbert_Gosseyn- 29/05/18 à 09:50:33

Pareil.

Avatar de jano31coa Abonné
Avatar de jano31coajano31coa- 29/05/18 à 09:56:06

C'est faisable, et plus ou moins facile selon les téléphones. Personnellement j'ai un Motorola sous LineageOS 14 sans gogole, et un Meizu sous Flyme 6.2 sans gogole également.
Si besoin de gogole, il y a les Open GApps ou une installations ponctuelle des applications avec Yalp store.

Édité par jano31coa le 29/05/2018 à 10:00
Avatar de tpeg5stan Abonné
Avatar de tpeg5stantpeg5stan- 29/05/18 à 09:56:54

C'est bizarre pour Amazon, les recommandations proposées sont souvent à côté de la plaque, et ils ont l'air de ne pas faire n'importe quoi avec mes données personnelles. Peut-être me suis-je trompé...

Avatar de 127.0.0.1 INpactien
Avatar de 127.0.0.1127.0.0.1- 29/05/18 à 09:57:02

« Les traitements d'analyse comportementale et de ciblage publicitaire mis en œuvre par Facebook, tels que décrits ci-dessus, ne sont pas nécessaires à l'exécution du contrat passé avec les personnes concernées, mais sont une contrepartie unilatéralement imposée par Facebook ».

Termes du contrat passé entre Facebook et les personnes concernées : "Nous collectons et utilisons vos données personnelles afin de vous fournir les services décrits ci-dessus." (https://fr-fr.facebook.com/terms )

Après, la notion de "nécessaires à l'exécution" c'est entièrement subjectif. Techniquement ce n'est pas nécessaire. Financièrement c'est nécessaire. Du coup, est-ce nécessaire à la fourniture du service ?

Édité par 127.0.0.1 le 29/05/2018 à 09:58
Il n'est plus possible de commenter cette actualité.
Page 1 / 4