Google suit-il illégalement les utilisateurs d'Android en Europe via un identifiant publicitaire unique attribué à l'appareil ? D'abord, qu'est-ce que l'identifiant publicitaire d'Android ? Selon la description faite par Google aux développeurs qui créent des applications pour sa plateforme de smartphones : « l'identifiant publicitaire est un ID unique, réinitialisable par l'utilisateur, destiné à la publicité et fourni par les services Google Play. Il permet aux utilisateurs de mieux contrôler leurs applications et offre aux développeurs un système simple et standard pour continuer à les monétiser. Il permet aux utilisateurs de réinitialiser leur identifiant ou de se désinscrire des annonces personnalisées au sein des applications disponibles sur la boutique d’applications Google».
Noyb est un groupe (fondé par Max Schrems, un avocat et défenseur de la vie privée) à but non lucratif de défense de la vie privée qui fait campagne pour que les régulateurs fassent appliquer les règles existantes sur l'utilisation des données personnelles. L’organisation soulève l’équivoque : le problème de proposer un identifiant de suivi qui ne peut être que réinitialisé est qu'il n'y a aucun moyen pour un utilisateur d'Android de ne pas être suivi. En d'autres termes, réinitialiser un tracker n'est pas la même chose que de pouvoir ne pas être suivi du tout.
Noyb a ainsi déposé une plainte officielle contre Google en vertu du Règlement Général sur la Protection des Données (RGPD). Le groupe de défense de la vie privée accuse le géant de la filière technologique de suivre les utilisateurs d'Android via l'ID de suivi généré lors de la configuration de l'appareil, ce, sans consentement légalement valable de l'utilisateur.
Le RGPD applique une norme particulière architecturée autour de la notion de consentiment. Les utilisateurs d'Android sont invités à accepter les conditions de Google lors de la configuration de l'appareil. Ils acceptent donc de ce fait un identifiant publicitaire réinitialisable, mais non désactivable. Or, en vertu du cadre européen de protection des données, pour que le consentement soit juridiquement valable, il doit être éclairé, limité dans son objectif et donné librement. Librement donné, signifie qu'il doit y avoir un choix qui doit également être libre.
Autrement dit dans les développements dont il est question, un utilisateur de l’OS Android ne peut pas dire non au système de suivi via identifiants publicitaires. Il peut simplement continuer à le réinitialiser sans qu’il n'ait de contrôle sur les données recueillies précédemment. Nyob conclut donc en se basant sur ce constat que l’utilisateur ne dispose pas du libre choix de ne pas être suivi par Google.
« Google prétend que les utilisateurs peuvent contrôler le traitement de leurs données, mais le constat est qu’ Android ne permet pas de supprimer l'identifiant de suivi », écrit Stefano Rossetti, avocat spécialisé dans la protection de la vie privée au sein de Nyob. « Il permet seulement aux utilisateurs de générer un nouvel ID de pistage pour remplacer celui qui existe déjà. Cela ne supprime pas les données qui ont été collectées auparavant ni n'arrête le suivi à l'avenir. C'est grotesque. Google prétend que si vous voulez qu'ils arrêtent de vous suivre, vous devez accepter de vous faire suivre une nouvelle fois. C'est comme annuler un contrat à la seule condition que vous en signiez un nouveau. Le système de Google semble nier structurellement l'exercice des droits des utilisateurs », ajoute-t-il.
Le géant de la technologie fait l'objet d'une enquête active du RGPD sur un certain nombre d'autres questions, notamment la localisation des utilisateurs et l'utilisation des données personnelles pour la publicité en ligne. Cette récente plainte officielle, concernant son identifiant publicitaire Android, a été déposée auprès de l'autorité autrichienne de protection des données au nom d'un citoyen autrichien. Le RGPD contient des dispositions qui permettent à des tiers de déposer des plaintes au nom de particuliers.
Selon Noyb, la plainte est en partie basée sur un récent rapport du Conseil norvégien des consommateurs. Ce rapport a analysé la manière dont les applications populaires partagent de manière effrénée les données des utilisateurs avec l'industrie de la publicité comportementale. En termes de procédure, il note que l’autorité autrichienne de protection des données pourrait impliquer d'autres organismes européens de surveillance des données dans cette affaire.
Il s'agit d'un mécanisme de « guichet unique » dans le RGPD, qui permet aux organismes de surveillance intéressés de se concerter sur les enquêtes transfrontalières, l'un d'entre eux jouant généralement le rôle d'enquêteur principal.
Dans le cadre du RGPD européen, les régulateurs de données disposent de pouvoirs de sanction importants, avec des amendes pouvant atteindre 4 % du chiffre d'affaires annuel mondial, ce qui, dans le cas de Google, pourrait s'élever à 5 milliards d'euros. Et la possibilité d'ordonner le traitement des données est suspendue ou arrêtée. Un résultat qui serait probablement bien plus coûteux pour un géant de la technologie comme Google.
Cependant, les amendes importantes ont fait défaut depuis que le règlement a commencé à être appliqué, il y a presque deux ans. Exception faite de la CNIL qui a infligé à Google une amende de 50 millions de dollars l'année dernière. La pression continue donc de s'accumuler sur l'application du règlement, en particulier sur la Commission irlandaise de protection des données, qui traite de nombreuses plaintes transfrontalières, mais n'a encore rendu aucune décision dans une série d'affaires transfrontalières impliquant un certain nombre de géants technologiques.
Source : Plainte
Et vous ?
Que pensez-vous de la pertinence du signalement de ce groupe de défense de la vie privée ?
Google mérite-t-il une nouvelle sanction en lien avec ce cas ?
Voir aussi:
Bilan du RGPD : les régulateurs européens ont infligé plus de 114 millions d'euros d'amendes, la France championne avec 50 millions d'euros d'amendes infligées
Il serait difficile d'empêcher Google d'enregistrer vos données personnelles selon une étude récente d'un informaticien
Europe : Google veut jouer la carte de la transparence pour les publicités à caractère politique, pour protéger les élections de mai 2019
LinkedIn s'est servi de 18 millions d'adresses mail de non-membres, à des fins de publicités ciblées sur Facebook
Un groupe de défense de la vie privée signale qu'Android génère un ID publicitaire à l'insu des utilisateurs
Et porte plainte auprès d'un régulateur des données UE pour qu'il applique le RGPD
Un groupe de défense de la vie privée signale qu'Android génère un ID publicitaire à l'insu des utilisateurs
Et porte plainte auprès d'un régulateur des données UE pour qu'il applique le RGPD
Le , par Nancy Rey
Une erreur dans cette actualité ? Signalez-nous-la !