RGPD : la Quadrature du Net traine Amazon, Apple, Facebook, Google et LinkedIn devant la CNIL

Tous pour un, un pour tous 39
Accès libre
image dediée
Crédits : Marc Rees (licence CC-BY-SA 3.0)
Justice
Marc Rees

La Quadrature du Net a mis ses menaces à exécution. Elle vient d’initier cinq actions collectives contre Facebook, Google, Apple, Amazon et LinkedIn, en représentation de milliers de personnes. Socle commun ? Le défaut de conformité au RGPD, tout juste entré en application.

Quelques heures seulement après la mise en application du règlement européen sur les données personnelles, l’ONG Noyb.eu, fondée par Max Schrems, a attaqué plusieurs plateformes en ligne. En substance, celui qui a déjà fait tomber l’accord Safe Harbor entre la Commission européenne et les États-Unis, dénonce le « tout ou rien » de leurs conditions générales d'utilisation.

Une stratégie qui serait imposée par Google, Instagram, WhatsApp et Facebook pour contraindre l’utilisateur d’accepter bon nombre de traitements de données personnelles, sans ventilation ni détails. 

L’une de ces procédures a été initiée devant la CNIL à l’encontre des CGU Google et Android. Mais celle-ci a désormais un autre chantier sur la rampe. C’est celui que vient de lancer la Quadrature du Net, annoncé pas plus tard que le 16 avril dernier.

Le mode opératoire est différent puisque l’organisation s’appuie sur l’article 80 du RGPD. Cette disposition instaure une action collective en cas de violation des données personnelles. L’idée est simple : des particuliers mandatent une association active dans le domaine de la protection afin d’être représentés.

La Quadrature a activé cette disposition en déposant une réclamation contre Facebook,  à la demande de 10 590 personnes, Google (9 973 personnes), Apple (6 880), Amazon Europe (10 065) et LinkedIn (8 540). Qu’est-il reproché à chacun de ces responsables de traitement ?

Les mauvais comportements de l'analyse comportementale 

À l’encontre de Facebook, la Quadrature du Net considère que l’analyse comportementale et le ciblage publicitaire mis en musique par cet estomac à données personnelles manquent tout simplement de base légale.

Si le réseau social s’appuie sur le contrat, l’une des justifications autorisées par le RGPD, l’initiative considère que ces opérations sont en disharmonie avec l’objet même du contrat Facebook et des attentes des utilisateurs, à savoir de partager et rester « en contact avec votre entourage ».

Conclusion : « Les traitements d'analyse comportementale et de ciblage publicitaire mis en œuvre par Facebook, tels que décrits ci-dessus, ne sont pas nécessaires à l'exécution du contrat passé avec les personnes concernées, mais sont une contrepartie unilatéralement imposée par Facebook ».

Des cases un peu trop précochées chez Google

Vis-à-vis de Google, la Quadrature pense qu’en vertu des conditions générales d’utilisation, « toute personne utilisant ses services manifeste, du simple fait de son utilisation ordinaire des sites Internet en question (Google Search ou YouTube), sa volonté de donner son consentement à l'analyse de ses activités à des fins de ciblage publicitaire ».

Elle dénonce aussi l’usage de cases précochées, afin pour Google « de vous fournir des recommandations et des résultats de recherche plus pertinents, ainsi que des services Google personnalisés ». Or, à son goût, ces mesures sont en contrariété avec le RGPD, lequel n’a d’yeux que pour les actes de consentement positif.

De même, Google conditionne l’accès à ses services au consentement à certains traitements de données personnelles.  « Or, l’analyse de ces données à des fins publicitaires n’est nullement nécessaire à l’exécution des services (…) demandés par les personnes concernées, qui n’ont pourtant pas le choix d’y consentir pour y accéder ».

La firme de Mountain View justifie le ciblage publicitaire par ses intérêts légitimes, une alternative au consentement et au contrat prévue par le RGPD. Critique de la Quadrature : « lorsque, dans ses Règles de confidentialité, Google annonce que "vous êtes libre de revenir sur votre consentement à tout moment", ceci est parfaitement trompeur : le retrait de ce consentement serait sans effet sur la mise en œuvre du traitement qui, d'après Google, pourrait continuer de se fonder sur l'intérêt légitime ».

L’association y voit donc une tromperie rendant le traitement illicite. Elle considère même que cette justification est fragile : ces traitements « ne sauraient (…) se fonder sur un intérêt légitime, car leur objet est d'analyser le comportement et d'établir un profil des utilisateurs à des fins de ciblage publicitaire ce qui, pas plus que le ciblage au moyen de « cookies », ne saurait être autorisé sans consentement préalable de la personne concernée ».

Elle fait état d’autres reproches, notamment envers l’analyse des mails reçus par d’autres personnes à destination d’un abonné Gmail. « Un tel traitement n’est fondé sur aucune relation (consentement ou contrat) entre Google et ces personnes tierces et ne saurait pas plus se fonder sur un quelconque intérêt légitime. »

Apple, Amazon, LinkedIn également visés

Quid d’Apple ? C’est cette fois l’usage d’un identifiant unique pour cerner au plus près l’utilisateur et lui adresser ensuite des publicités dédiées qui est mis à l’index. Là encore, le mécanisme souffrirait de base légale. Selon la Quadrature, il ne pourrait se passer du consentement préalable, libre et explicite de l’utilisateur. Or, que « l’utilisateur puisse mettre à zéro l’identifiant ne saurait en rien constituer un consentement valide – puisqu’il serait donné au moyen d’une case précochée enfouie derrière divers menus ».

Avant-dernier de la liste, Amazon, avec une situation identique. Des analyses comportementales contestées parce qu’elles s’appuient sur le contrat ou l’intérêt légitime, plutôt qu’un consentement explicite des personnes ciblées.

Quant à LinkedIn, enfin, le consentement des utilisateurs est obtenu de façon non libre, d’après la Quadrature, « puisque l’utilisateur n’a pas le choix, au moment de créer un compte, d’accepter ces traitements, alors que ceux-ci ne sont en rien nécessaires à l’exécution du contrat passé avec LinkedIn (dont l’objet principal est la mise en relation professionnelle de ses utilisateurs) ».

Cette désactivation du ciblage publicitaire n’est possible qu’une fois le compte créé, soit trop tard aux yeux de l’association : « Cette possibilité de s’opposer ultérieurement ne saurait en rien corriger le caractère non libre du consentement initialement demandé. Et effet, toutes les options d’opposition aux traitements publicitaires sont, par défaut, activées au moyen de cases précochées, rendant toute sorte de « consentement » (s’il en était) invalide, car reposant sur le silence de l’utilisateur et non sur un acte positif de sa part ».

Pour chacun des acteurs, la Quadrature du Net réclame l’interdiction des traitements épinglés, outre une amende administrative élevée du fait « de son caractère massif, durable et manifestement délibéré de la violation constatée, doit être la plus élevée possible ».

Ces cinq réclamations introduites à la porte de la CNIL ne sont que les premières marches d’une longue épopée. Les traitements étant réalisés à partir des données issues de plusieurs pays européens, la Commission aura à collaborer avec les autres autorités et même à désigner celles qui seront à chaque fois le chef de file, en Irlande ou, pour le cas d’Amazon, au Luxembourg. Soit de longs mois d’attente. En parallèle, LQDN annonce que d’autres actions seront lancées contre cette fois Whatsapp, Instagram, Android, Outlook et Skype.


chargement
Chargement des commentaires...