noyb (« My Privacy is None of Your Business ») vient d’adresser une plainte à la CNIL, l’index pointé sur Google. Elle reproche au géant du numérique de travestir en courriels des annonces publicitaires sur Gmail. Armée d’une décision de la justice de l’UE, l’association estime que ces mails auraient dû être avalisés par consentement.
Google peut-il glisser des annonces déguisées en courriers parmi les mails reçus dans l’onglet « promotions » des boîtes Gmail ? noyb estime que non, tant que le fournisseur de la solution n’a pas obtenu l’accord de l’internaute. Agissant en représentation de trois utilisateurs, elle vient d’adresser une plainte à la CNIL.
« C’est très simple. Le spam est un e-mail commercial envoyé sans consentement. Et c'est illégal. Le spam ne devient pas légal simplement parce qu'il est généré par le fournisseur de la messagerie » insiste Romain Robert, juriste au sein de l’association fondée par Max Schrems.
Parmi les emails publicitaires classés dans cet onglet « promotion », on trouve deux types de courriers : ceux pour lesquels le titulaire de l’adresse mail a effectivement donné son consentement. Et les pubs envoyées sous forme là encore de courriers électroniques, mais labellisées par Google comme des « annonces ».
« Lorsque les plaignants se sont inscrits à Gmail, ou même ultérieurement, il ne leur a pas été demandé de consentir à ce que ces emails publicitaires leur soient envoyés » soutient noyb qui considère la pratique en déphasage complet avec les textes européens.
Plusieurs contrariétés, selon l’association
Dans sa plainte, l’association rappelle en effet que la directive ePrivacy conditionne « l'utilisation [...] de courrier électronique à des fins de prospection directe » au consentement préalable de l’abonné.
En France, l’article L35-4 du Code des postes et des communications électroniques interdit lui aussi cette prospection directe « au moyen de système automatisé » en « utilisant les coordonnées d'une personne physique, abonné ou utilisateur, qui n'a pas exprimé préalablement son consentement à recevoir des prospections directes par ce moyen ».
Ces pratiques seraient donc prohibées, faute pour le destinataire d’avoir consenti à réceptionner ces annonces publicitaires maquillées en e-mails.
Dans une décision rendue le 25 novembre 2021, la Cour de justice de l’UE s’était justement intéressée à ce marketing, nommé « inbox advertising » dans le jargon. Dans un dossier concernant un prestataire allemand, la question était alors de savoir si ces annonces relevaient ou non de la législation européenne qui encadre la prospection par courriels.
Pour la haute juridiction, cela ne fait pas de doute : l’inbox advertising est bel et bien une « utilisation [...] de courrier électronique à des fins de prospection directe ». Afin d’assurer un haut niveau de protection, peu importe finalement la technologie utilisée, la CJUE fait le choix de retenir une « conception large » afin de ne pas désarmer les internautes.
Elle développait une approche très pratique dans son analyse : « du point de vue du destinataire, ledit message publicitaire est affiché dans la boîte de réception (…), à savoir dans un espace normalement réservé aux courriels privés. L’utilisateur ne peut libérer cet espace pour obtenir une vue d’ensemble de ses courriers électroniques exclusivement privés qu’après avoir vérifié le contenu de ce même message publicitaire et seulement après l’avoir supprimé activement ».
Ainsi, ajoutait-elle, « contrairement aux bannières publicitaires ou aux fenêtres contextuelles, qui apparaissent en marge de la liste des messages privés ou séparément de ceux-ci, l’apparition des messages publicitaires (…) dans la liste des courriers électroniques privés de l’utilisateur entrave l’accès à ces courriers d’une manière analogue à celle utilisée pour les courriels non sollicités (appelés également "spam") dans la mesure où une telle démarche requiert la même prise de décision de la part de l’abonné en ce qui concerne le traitement de ces messages ».
Outre une occupation de l’espace de la boîte de réception, elle dénonçait « un risque de confusion » pouvant conduire l’internaute « à être redirigé contre sa volonté vers un site Internet présentant la publicité en cause, au lieu de continuer la consultation de ses courriels privés ».
En somme, l’inbox advertising relève bien de la prohibition des « sollicitations répétées et non souhaitées », dès lors que l’affichage de ces messages publicitaires est suffisamment fréquent et régulier et que le destinataire n’a pas donné son consentement.
Un risque de confusion
L’argument du risque de confusion a été repris par noyb dans sa plainte. « Les emails publicitaires Gmail sont affichées dans l'onglet "Promotions" de la boîte de réception des plaignants. Ceci crée encore plus de confusion chez les utilisateurs : ils s'attendent généralement à recevoir des courriels publicitaires auxquels ils se sont abonnés, et penseront donc légitimement que les emails publicitaires Google en cause dans la présente plainte sont également des courriels promotionnels auxquels ils se sont abonnés – quod non [ce qui n’est pas (le cas), ndlr] ».
Cette confusion serait d’autant plus importante que Gmail « propose un filtrage automatique des courriels non sollicités où les emails de prospection directe non sollicités sont supposés être redirigés vers une boîte "Spams" ». Or, « les emails publicitaires Gmail, qui sont eux aussi non sollicités -ce qui ne peut être ignoré par Google- sont sciemment dirigés vers la boîte de réception "Promotions" ».
L’association soutient que jamais le consentement des internautes qu’elle représente n’a été donné, pas plus que les exceptions prévues par la directive ePrivacy ne sont susceptibles de jouer.
La directive ePrivacy autorise en effet et à titre exceptionnel l’envoi de ces courriers quand la personne prospectée est déjà cliente de l’entreprise et si la prospection concerne des produits (ou services) similaires fournis par la même société.
Dans le cas présent, « les coordonnées électroniques ne sont pas utilisées pour la commercialisation directe de produits similaires dans le cadre de laquelle elles avaient été précédemment collectées », insiste noyb qui insiste donc sur l’absence de consentement.
Transparence lacunaire
Autre problème pointé du doigt : les annonces qu’elle a auscultées « ne mentionnent [pas] l’identité de l’expéditeur des courriels de prospection commerciale, et ne permettent pas de déterminer à qui s’adresser pour s’opposer à la réception desdits courriels ». Autant de contrariétés encore avec les textes en vigueur.
L’association réclame au final une enquête qui « devra déterminer qui est l’expéditeur des emails publicitaires Gmail, quelles données sont collectées et conservées par ces expéditeurs et Google, et comment ces expéditeurs peuvent rapporter preuve du consentement des plaignants ». Autre vœu : une injonction ordonnant la cessation de ces envois et, en guise de cerise, une amende « effective, proportionnée et dissuasive ».
Nous avons sollicité un commentaire de Google France, sans retour pour l’instant.
Commentaires (43)
#1
Effectivement, on peut facilement confondre un message publicitaire sur Google Mail avec un mail classique. Je pense que cette procédure est totalement fondée. C’est une sorte de dark pattern.
#2
Meme chose donc pour l’app Outlook de Microsoft
#2.1
Jamais vu ce genre de contenus sur Outlook(en tous cas, de mails en tant que tels, en effet il y a de la publicité mais dans un encart identifié comme tel), et ils n’ont pas d’onglet “promotions”, ou j’ai loupé quelque chose ?
Ou bien on parle du logiciel Outlook desktop, dans lequel il n’y a pour le coup aucune pub du tout ?
#2.2
en effet, il semble que l’article soit plus subtile avec un vrais mal spam et non pas juste une ligne comme on à sur l’app outlook android.
mon Gmail n’a pas le mode promotion et ne sert pas vraiment, j’ai pas de pub dessus
#3
Je me faisait la réflexion pour les pub dans le webmail Orange. Content d’apprendre que c’est illégal. Et j’espère qu’Orange va virer ça rapidement.
#4
Noyb est très efficace dans ce domaine. Alors pourquoi passer par la CNIL, qui va encore mettre des plombes avant de dire qu’elle a fait les gros yeux à Google ?
#4.1
peut-être juste parce-que la CNIL est l’autorité légalement compétente s’occuper de ce type d’affaires…?
#4.2
Vu que ça fait des lustres que ça dure, il faut croire que la CNIL n’a pas de personnel pour effectuer une veille techno-légale efficace et il serait utile de savoir pourquoi personne ne traverse la rue pour aller les aider.
#5
Dans claws-mail, je n’ai pas de publicité
Les gens ont oublié ce qu’est le mail.
#5.1
Pareil avec Infomaniak Mail. Même si j’ai l’offre payante, la version gratuite ik.me ne contient pas non plus ce genre de désagrément.
#6
Orange, en tant que fournisseur de messagerie fait la même chose que Google, une petite croix devant, un sticker “Annonces” permet de distinguer ces pourriels. Régulièrement, ça revient, pas toujours les mêmes. Faut que je le signale à noyb.
#7
J’ai l’impression que tout leur argumentaire est fondé sur le fait que c’est un e-mail contenant une annonce publicitaire, comparable à une annonce auquel l’utilisateur se serait abonné. Je ne crois pas une seule seconde que ça tiendra la route. Ces annones sont des encarts publicitaires placés dans la liste des e-mails. Ils fonctionnent de la même manière que toutes les publicités que l’on peut voir par ailleurs : Il n’y a pas d’expéditeur et on ne peux s’y désabonner car ça n’est pas un (vrai) email, leur affichage est retardé par rapport aux emails et renouvelée au chargement de la page car ils passent par le processus d’appel d’offre de publicité. C’est une publicité maquillée dans la liste des emails.
#7.1
Comme tu le dis : “ c’est une publicité maquillée dans la liste des emails.” Et rien que pour ça Google est hors des clous…
Il m’arrive de temps à autre de me faire avoir par ces publicités car bien sur elles sont très proches des sujets qui atterrissent dans mon onglet promotion. Et ca me gave…
#7.2
Elles sont pourtant badgés “annonce” avant le sujet :p
Me concernant:
#7.3
Justement, non, ce ne sont pas des simples encarts, c’est bien de la pub, mise en en forme exactement comme si c’était un mail qui nous était envoyé, avec juste un petit affichage “annonce”. Le but est clairement de tromper l’utilisateur en le faisant cliquer.
Tu as raison, “C’est une publicité maquillée dans la liste des emails” qui reprend la forme d’un mail c’est bien ce qui est dénoncé.
Yes le client mail intégré a Vivaldi fait très bien le Job pour Gmail. Pour le peu de mail que j’ai sur Gmail c’est parfait ! Et L’A2F mis en place par google est tellement imbuvable que ca m’arrange aussi.
#8
Je trouve que les dernières versions de ces faux mails sont particulièrement vicieuses.
#9
Faut signaler le client mail de bouygues aussi.
#10
C’est marrant ce commentaire sarcastique, car justement, NOYB précise qu’elle s’est adressée à la CNIL, précisément car elle ne se contenait pas de faire les gros yeux à Google et l’avait déjà sanctionné de plus de 200 millions d’Euros , justement car elle avait trouvé le moyen de contourner le système européen de guichet unique du RGPD et de bypasser la CNIL Irlandaise (en se basant sur la directive e-privacy et non le RGPD pour les sanctions), qui, elle, ne fait même pas les gros yeux, mais a la bouche en cœur face aux géants de la tech US :
CNIL has a history of fining Google. Since this complaint is based on the ePrivacy Directive and not the GDPR, the French authority (CNIL) can directly decide and fine Google without the need to cooperate with other DPAs. The CNIL already fined Google 150 Mil Euro in December 2021 over their cookie violations and imposed a fine of 50 Mil Euro based on a noyb and a LQDN complaint, because of Google’s opaque and unclear privacy notice and lack of legal basis for personalized ads.
#11
Je suis d’accord sur le principe. Menfin j’utilise Outlook et Adblock.
Mais dire que le spam est illégal c’est un peu fort non?
Si on remplace mail par boîte au lettre, email par papier dedans, jv pas porter plainte parce que j’ai un prospectus Netto,Monoprix ou de ma ville dedans…lol
Papier non sollicité..
#12
Mais on est d’accord que une pub qui imite un vrai mail, c putaclick
#13
Je ne suis pas sûr que vous diriez la même chose si en proportion vous receviez 1kg de pub par jour….
#14
Décider si quelque chose est illégal ou non, ça ne se fait pas au pifomètre. Il suffit de regarder les textes, tout simplement :
https://edps.europa.eu/sites/edp/files/publication/dir_2002_58_fr.pdf
article 13.
#15
Surtout qu’il suffit d’utiliser un logiciel de messagerie (Thunderbird, Outlook, etc) to avoid ALL Ads.
Else, you need to get your own domain and free email adresses…
Bon, ben on va prendre un deuxième café !
#16
Pour la comparaison avec les boites aux lettres IRL, Le non respect des autocollants “stop pub” est puni d’une amende depuis le 1er janvier 2021 (le fait d’arracher ou masquer l’autocollant est aussi punissable il me semble). En soit c’est donc de l’out-opt.
En opposition, il y aussi l’expérimentation “oui pub” qui vise à mettre en oeuvre de l’opt-in. Si ce dispositif se généralise, cela rendrait donc illégal le dépôt de prospectus publicitaires non sollicités et non adressés dans une boîte aux lettres qui n’affiche pas ceci.
#17
Attention, ce n’est pas officiellement reconnu comme illégal, c’est effectivement la position défendue par noyb. Ça va être tout l’objet de la décision de la CNIL.
Effectivement on retrouve cette approche sur pas mal d’outils de messagerie, perso je le voient jamais sur Google (sûrement car j’utilise pas les onglets) mais j’ai trouvé que la version Outlook était assez diabolique car tout dans l’expérience utilisateur te pousses à l’ouvrir (notamment la couleur et le texte en gras pour exprimer le côté “Vous avez un nouvel email”).
Dans la même veine, il serait bon de questionner la présentation des articles “Partenaires” sur les sites d’actus, par exemple quand c’est pas mentionné dans le flux RSS ou sur la page d’accès à l’article, les intégrations borderline type Taboola…
#18
Gmail cherche par tous les moyens à t’en empêcher. L’imap est désactivé par défaut, et ce n’est pas évident de l’activer (avec pas mal de messages anxiogènes pour décourager le non-connaisseur).
#19
Je viens de vérifier, l’option est à activer dans les Paramètres, onglet “Transfer POP/IMAP” et il n’y a aucun message d’alerte. J’ai pas trop l’impression que ce soit décourageant et/ou anxyogène.
Après, l’IMAP c’est aussi un moyen d’affaiblir la protection de Google sur la connexion (pas de 2FA par exemple), donc oui quelque part pour la sécurité c’est un risque supplémentaire, surtout à l’activer par défaut quand une grande partie de tes utilisateurs passent par d’autres solutions.
En revanche, il y a une API pour manipuler le compte Gmail, et là par contre Google précise que c’est pas son but que de servir à développer un client pouvant remplacer l’IMAP
#19.1
et surtout, la vraie question : est-ce que tu as réussi à le faire marcher pour de vrai depuis le 30 mai ?
Pour rappel :
https://support.google.com/accounts/answer/6010255?hl=fr&utm_source=google-account&utm_medium=profile-less-secure-apps-card
#20
Chez toi il ne dit pas Êtes vous sûr de vouloir activer ce protocole non-sécurisé ? Et il ne t’oblige pas à activer l’authentification à deux facteurs pour activer l’imap ?
#20.1
Sur mon vivaldi perso j’ai mon Gmail perso et sur mon Vivaldi pro j’ai un gmail de test.
Dans les 2 cas, il m’a fallut moins de 5 minutes pour ajouter le compte et rien à activer coté Gmail.
J’ai entré mon adresse, sélectionné OAuth, et entré les infos, et voila… je m’attendais justement à plus compliqué, mais en fait non :)
#21
La question n’est pas si c’est contournable (avec des connaissances avancées ou non) mais bien est-ce que le comportement par défaut visible par tous les utilisateurs est légal.
#22
J’imagine que Vivaldi, comme Thunderbird, doit payer pour avoir un client-id accessible publiquement et pas simplement dans un projet de test.
Je viens de faire la procédure à l’instant avec claws-mail. Là, il faut le faire soi-même. D’abord, on va dans l’API Cloud de Google, on crée un projet de test, on configure un domaine d’authentification, on ajoute un utilisateur dedans, puis on crée un client-id. Ensuite, on va dans le mailer (claws-mail, en l’occurrence), on entre le client-id et le client secret, et on lance la requête d’authentification. On obtient alors de Google un code qu’on entre dans claws-mail. Voilà. Pas à la porté de Mme Michu, et pas évident même en étant expérimenté, parce qu’on a des docs contradictoires, pas à jour, etc. Il faut s’y faire, Google n’est plus une startup, c’est une vieille boîte avec un SI vieillissant, des docs pas à jour, des liens morts dans les fenêtre de configuration, etc.
Au final, ça marche. Mais la conclusion est implacable : oauth2 est un protocole d’authentification entre applis web, définitivement pas pour connecter un client desktop à un serveur de mail. S’il faut que chaque client ait un client-id répertorié chez le fournisseur de mail pour que ça marche, c’est mal barré.
Prochaine étape : faire la même chose avec K9 mail.
#22.1
Je doute que beaucoup de Mme Michou utilisent claws-mail
voir même K9 mail. Mais en effet, je n’ai testé qu’avec Vivaldi, l’intérêt étant d’avoir qu’un seul logiciel qui fait Navigateur / Courrier / Flux RSS, sachant que j’utilise très peu Gmail, ca m’allait bien.
Bref pour ma part, c’était simple en tous cas, et l’Imap n’était pas désactivé par défaut, mais je conçois que ce ne soit pas le cas sur tous les softs.
Sur mon mail de tous les jours, j’utilise tutanota et l’imap est impossible avec eux, comme ca la question ne se pose pas
#23
Bah oui, Mme Michu utilise gmail, avec l’appli gmail. Elle n’imagine même pas que pour le mail, on puisse utiliser l’application qu’on veut et pas l’appli du fournisseur de mail. J’en connais comme ça qui ont toujours un onglet ouvert avec gmail, un autre onglet sur laposte.net, et un troisième onglet sur le mail du FAI. J’hésite à leur installer un Thunderbird pour rendre tout ça plus pratique, mais je sais que ça va me revenir dans la gueule avec tous ces fournisseurs qui font leur possible pour interdire l’imap et s’arrangent pour que ça pète tous les six mois, du coup je m’abstiens.
J’ai juste réussi à convertir ma femme, un jour où elle était bien en peine parce qu’elle voulait archiver le contenu de tout un répertoire d’un compte mail sur un autre compte mail, et que faire 200 forwards à la main, ça lui semblait sous-optimal. Je lui ai installé Thunderbird, puis on a fait la manip en littéralement 10 secondes. Elle n’imaginait même pas que c’était possible, alors quand elle a vu que ça se faisait en un simple drag-and-drop, elle a été estomaquée.
#23.1
Et si il/elle veut un client, ceux de MS ont plus de chance d’être pris que Thunderbird. Les mentalités ne vont pas changer si facilement ;)
Je ne vois pas autant de monde que ca avec 2-3 adresses mails activent. Les Mme et Mr Michou se contente souvent d’une dans ce que je vois. Par contre, je n’y touche plus non plus, parce qu’en effet, ca te revient toujours dessus en cas de problème de connexion ! Pour ma propre tranquillité, je les encourage à utiliser l’appli web pour ma part :)
#24
Il suffit de ne pas utiliser gmail ou tout autre client mail “gratuit” moyennant publicité.
#24.1
Je n’ai pas beaucoup (du tout) de pub sur gmail, du moins pas collées par google, faut pas déconner non plus.
l’article me fait découvrir ce dossier promotions que je n’avais encore pas vu, je ne le trouve pas sur mon mobile d’ailleurs et les derniers mails dedans datent de 2020, il y en a infiniment plus dans le dossier spam.
Donc il y a pire, je dirais même que gmail est plutôt salutaire.
Pourtant, ça fait bientôt 20 ans que je n’ai rien payé chez eux.
J’ai d’autres adresses en pagaille, dont une sur mon domaine chez ovh, dont je ne me sers jamais.
#24.2
Ceci était un message à caractère publicitaire.
Il y a toujours pire, mais pour moi à l’instant, je ne vois pas pire que cet aspirateur à données qui oblige la grande majorité des détenteurs d’un ordiphone à ouvrir un compte chez eux.
#25
Dans le genre, Protonmail fait la même chose avec ses “Lettres d’information Proton”, mis en favoris systématiquement.
S’ils attaquent Google, ils vont faire les autres clients mail après ?
#26
T’utilises quoi comme fournisseur de mail?
J’étais chaud un moment à partir chez protonmail, mais 4€ par mois (sur 1 an), je trouve ca ultra cher. Aujourd’hui, les quasi seuls email que je lis sont des mails de reset de password…
Je cherche un fournisseur respectueux de la vie privée, qui gère les domaines custom, avec un antispam qui fonctionne bien.
#26.1
j’utilise mailo (anciennement netcourrier) 12€/an
#26.3
Merci messieurs(dames), je vais regarder ces deux providers.
#26.2
Infomaniak, 18€/an pour 5 adresses sur un domaine de son choix, Suisse comme Proton. Perso j’en suis très content.