Le processus d’inscription au compte “trompeur” de Google ciblé par les plaintes RGPD

Des groupes européens de défense des droits des consommateurs ont déposé de nouvelles plaintes en matière de confidentialité contre Google. Ils accusent le géant de la publicité d’avoir induit les utilisateurs en erreur pour qu’ils consentent au traitement de données étendu et invasif.

Les géants de la technologie profilent les titulaires de compte pour cibler les publicités. Cela repose apparemment sur le consentement des utilisateurs comme base juridique. La loi la plus importante de l’UE en matière de protection des données, le règlement général sur la protection des données (RGPD), impose la confidentialité dès la conception et par défaut. Elle établit également des conditions claires sur la façon dont le consentement doit être obtenu afin de le rendre licite.

Ainsi, le boeuf des groupes de consommateurs – même si Google utilise une conception trompeuse pour inciter les utilisateurs à accepter son suivi.

Ils affirment que les choix de conception que Google fait autour de la création de compte permettent aux utilisateurs d’accepter plus facilement que Google traite leurs données pour les cibler avec des “annonces personnalisées” plutôt que de refuser leur consentement.

Vous pouvez être suivi rapidement

Vous pouvez être suivi rapidement

Ces plaintes montrent que les options respectueuses de la vie privée, décrites par Google comme “personnalisées manuellement”, obligent les utilisateurs à effectuer cinq étapes et dix clics (“attraper des informations peu claires et incomplètes” comme ils le disent), alors qu’elles offrent une “personnalisation expresse”. ” Option en un seul clic qui active tous les suivis. Cela le rend horrible pour la vie privée.

Ils soulignent que Google n’offre pas aux consommateurs la possibilité de désactiver tout suivi en un clic. De plus, Google exige la création d’un compte pour certains produits tels que la configuration d’un téléphone Android.

D’autres cas peuvent permettre aux utilisateurs de créer un compte volontairement. Cependant, Google offre toujours une variété d’options pour encourager les consommateurs à consentir à son suivi.

« Quelle que soit la voie choisie par le consommateur, la collecte de données de Google est opaque et injuste. Les données personnelles des consommateurs sont utilisées à des fins vagues et de grande envergure », indique le communiqué de presse.

Le groupe de membres BEUC, également connu sous le nom d’Organisation européenne des consommateurs, coordonne la série de plaintes GDPR.

Selon le BEUC, les agences de protection des données des États membres et des marchés de l’UE ont reçu des plaintes de particuliers, y compris ceux appartenant à ses organisations membres en France et en République tchèque, en Norvège et en Grèce.

Il a également noté que le membre allemand de la vzbv avait envoyé un avertissement à Google avant d’éventuellement intenter une action civile. Pendant ce temps, des groupes de consommateurs des Pays-Bas, du Danemark et de Suède ont écrit à leurs DPA pour les alerter sur ces pratiques.

Ursula Pachl (DG adjointe du BEUC), a commenté l’action dans un communiqué :

Contrairement aux affirmations de Google concernant la protection de la vie privée, Google a placé des dizaines de millions d’Européens sur une voie rapide pour la surveillance après avoir ouvert un compte Google. Google peut surveiller et exploiter toutes vos activités en une seule étape simple. Pour bénéficier de paramètres respectueux de la vie privée, vous devrez parcourir un long processus avec un mélange d’options peu claires et trompeuses. Vous êtes surveillé par Google par défaut et concevez lorsque vous créez un compte Google. La protection de la vie privée devrait être le choix par défaut et le plus pratique pour les consommateurs.

Google a répondu aux plaintes en publiant cette déclaration :

« Nous sommes conscients que la confiance dans les consommateurs dépend de l’honnêteté et de la transparence. C’est pourquoi nous avons misé notre succès futur en rendant les contrôles plus faciles, plus accessibles et en offrant plus de choix aux gens. Faire plus avec moins de données est tout aussi important.

*Nous sommes heureux d’avoir la chance de discuter de ce sujet important avec les régulateurs européens et les défenseurs des consommateurs. Il est important que les gens comprennent les données générées par les services Internet. Ils devraient pouvoir, s’ils ne l’aiment pas ou s’ils ne veulent pas le changer.

Un porte-parole de la société a également déclaré que les différentes options disponibles pour les utilisateurs lors de la création d’un nouveau compte Google sont clairement étiquetées et faciles à comprendre. Ils étaient basés sur des recherches approfondies et des conseils des DPA (autorités de protection des données) et sur les commentaires des testeurs. Il a déclaré qu’ils s’engageaient à faire en sorte que ces choix soient clairs, simples et faciles.

Nous avons demandé à Google quels DPA nous ont fourni leurs conseils pour l’aider à concevoir le processus de création de compte.

Récidivistes

Ce n’est pas la première plainte liée à la confidentialité que les consommateurs européens ont formulée contre les pratiques de Google. Les droits des consommateurs de l’UE ont également déposé une plainte concernant la collecte de données de localisation par Google en 2018. Cependant, il a fallu février 2020  pour ouvrir une enquête par la Commission irlandaise de protection des données (DPC), le contrôleur des données de Google dans l’UE. Cette enquête de données est toujours en cours, même si cela fait plus de 2 ans.

Graham Doyle, commissaire adjoint du DPC, a déclaré à TechCrunch en mai qu’il prévoyait de soumettre un projet de décision concernant l’enquête sur les données de localisation de Google à d’autres DPA “au cours des prochaines semaines”. Cependant, il pourrait y avoir des désaccords sur l’approche de l’Irlande et cela pourrait prendre plusieurs mois avant qu’une décision finale consensuelle ne soit prise. La plainte de longue date n’a pas pu être résolue cette année.

D’autres plaintes GDPR de longue date contre Google sont toujours pendantes devant le DPC. Cela inclut une plainte majeure concernant son adtech. Il a commencé à enquêter en mai 2019  et est actuellement  poursuivi pour inaction .

Une autre plainte concernait l’utilisation du consentement forcé par Google sur sa plate-forme mobile Android. Elle remonte à mai 2018. Cependant, il n’est pas clair si la DPC a ouvert une enquête dans cette affaire. La CNIL, l’organisme français de surveillance de la protection des données, a enquêté et infligé une amende de 57 millions de euros à Google en janvier 2019  pour violation de la transparence et du consentement concernant Android. La CNIL s’est déclarée compétente dans cette affaire, car les décisions liées à Android ont très probablement été prises aux États-Unis plutôt qu’à Dublin, où se trouve le siège régional de Google.

Cependant, l’Irlande n’a pas encore rendu de décision GDPR contre Google.

Le BEUC ne cache pas sa consternation face à l’incapacité du DPC à faire appliquer les plaintes contre le géant de la technologie.

Pachl a déclaré que Google est un récidiviste. Pachl a déclaré que cela faisait plus de trois ans qu’ils avaient déposé des plaintes contre les pratiques de localisation de Google. Le DPC irlandais chargé de l’affaire n’a pas encore rendu de décision. Les pratiques de Google ne changent pas sur le fond. Google continue de suivre et de profiler les consommateurs, et ces pratiques sont la référence pour le reste.

Elle a déclaré: “Nous avons besoin d’une action rapide de la part des autorités car il est inacceptable que l’un des plus grands acteurs ignore le RGPD.” « Cette affaire est cruciale et nécessite une coopération entre les autorités de protection des données à travers l’Europe. Le comité européen de la protection des données doit soutenir cet effort.»

Le suivi par Google de l’utilisateur du compte est distinct du suivi basé sur les cookies que Google utilise pour suivre les utilisateurs sur des sites Web et des applications tiers.

Ce processus a fait l’objet d’autres plaintes de l’UE, qui ont conduit à  certaines mesures d’application  au fil des ans. En particulier, l’organisme français de surveillance de la protection des données a infligé à Google des amendes de 300 millions de euros pour des violations liées au suivi des cookies en vertu de la directive ePrivacy du bloc – puis  Google a apporté quelques modifications à la bannière de consentement aux cookies  qu’il affiche aux internautes européens.

Plainte stratégique

Plainte stratégique

Le commentaire de Pachl selon lequel la plainte relative à l’inscription au compte Google est d’« importance stratégique » fait référence à l’attente du BEUC que cette affaire déclenche une procédure en vertu de l’article 60 du programme de coopération du RGPD (c’est-à-dire l’article 60). Il espère que cela fonctionnera plus facilement qu’il ne l’a fait depuis 2018, lorsque la plainte relative aux données de Google a été déposée.

Le BEUC espère une navigation plus fluide en raison de l’accord d’avril conclu par les autorités de protection des données de l’UE – également connu sous le nom de «  déclaration de Vienne », lorsqu’elles ont convenu d’améliorer leur coopération en matière d’application dans les affaires RGPD transfrontalières d’importance stratégique.

Une plainte contre Google en est un exemple clair. Cependant, la plainte concernant les données de localisation de Google d’il y a des années a été en proie à une variété de problèmes de coopération, qui ont ralenti l’enquête et retardé une décision.

David Martin Ruiz (chef d’équipe pour la politique numérique au BEUC), a partagé ses réflexions sur les changements que les régulateurs devraient apporter pour répondre à cette nouvelle plainte transfrontalière de Google. Il a déclaré : « Nous nous attendons à ce que le traitement des plaintes soit prioritaire car il concerne les pratiques d’un acteur majeur du marché de l’industrie de la surveillance qui affectent des millions d’Européens. Il a fallu 6 mois pour identifier l’autorité responsable pour la première fois. Nous attendons une coopération meilleure et plus coopérative entre les autorités. Il s’agit notamment de vérifier si les réclamations sont recevables. Cependant, cela ne devrait être fait qu’une seule fois par l’autorité qui les reçoit. Nous attendons une coopération plus étroite entre les autorités et une hiérarchisation stratégique pour garantir une enquête rapide et approfondie et une application efficace.

Ruiz a refusé de prédire à quelle vitesse le processus de coopération révisé serait en mesure d’appliquer l’application contre Google. Il a déclaré: “Il est difficile de chiffrer cela, mais nous espérons certainement que cela prendra moins de temps que celui actuellement en cours, et nous ne sommes pas ici dans trois ans en attendant toujours de voir un projet de décision.”

Récemment, la Commission européenne, qui critique le respect par les entreprises de technologies publicitaires des lois européennes sur la protection de la vie privée, a défendu une application réglementaire plus lente dans les principales affaires transfrontalières.

Didier Reynders, le commissaire à la justice, a comparé la complexité de ces grandes enquêtes aux affaires antitrust dans une lettre au médiateur européen, qui enquête sur la surveillance du RGPD par l’exécutif européen après des plaintes contre la Commission.

« … Il est important de faire la distinction entre les cas qui sont simples et ne nécessitent pas d’enquête approfondie et les cas qui nécessitent des évaluations économiques et juridiques complexes ou qui présentent de nouveaux problèmes. Les affaires complexes, telles que celles impliquant des problèmes liés au modèle commercial des grandes multinationales de la technologie, peuvent nécessiter plusieurs mois ou années d’enquête, à l’instar de ce qui se passe avec les enquêtes sur le droit de la concurrence. Ceci est particulièrement pertinent pour l’Irlande, car bon nombre de ces sociétés ont leur principal établissement en Irlande.

Ruiz a répondu aux points de Reynders en disant à TechCrunch que «nous sommes d’accord et comprenons que ce sont des problèmes complexes, et les autorités ont besoin de temps pour construire des dossiers solides. Nous avons vu des problèmes qui vont au-delà du temps requis pour enquêter sur ces cas. Par exemple, lorsqu’une enquête est ouverte, un DPA peut limiter la portée des plaintes. Bon nombre des plaintes importantes dont la résolution prend des années ne sont pas des plaintes typiques. Ils sont étayés par une analyse juridique approfondie et des preuves. Il s’agit d’aider les DPA dans leurs enquêtes. Ces cas prennent plus de temps à résoudre que la normale, ce qui peut également être le signe de problèmes plus profonds tels qu’un manque ou des ressources suffisantes. Ces cas peuvent faire l’objet d’une enquête plus rapide s’il y a une coopération accrue et une hiérarchisation stratégique conformément à la déclaration de Vienne.

Le BEUC ne préconise pas de révisions majeures du RGPD pour résoudre le problème des entreprises Big Tech soumises à une application en temps opportun. Il pousse les DPA à mettre en œuvre une série d’améliorations des processus, à la fois individuellement et collectivement. Cela résoudra des problèmes tels que le goulot d’étranglement dans les affaires liées à la structure de guichet unique/contrôleur principal des données du règlement. Cela a permis le forum shopping.

Il a déclaré que “En un mot” concernant Big Tech, la première chose à faire est de mettre fin au “goulot d’étranglement”. Les DPA, en particulier une DPA qui surveille de nombreuses entreprises Big Tech, doivent prendre des décisions concernant les dossiers ouverts. Les APD au sein de l’EDPB doivent être claires et concises dans la manière dont elles interprètent et appliquent les règles. Si l’APD principale ne parvient pas à rendre les décisions, toutes les APD doivent utiliser leur pouvoir et prendre des mesures immédiates. La Big Tech doit être claire sur le fait que la transparence cosmétique et la façade ne sont pas acceptables. Parce qu’elles sont contraires à l’essence même du GDPR, il existe des problèmes fondamentaux dans les pratiques commerciales de base de Big Tech.

« Officiellement, c’est une préoccupation parce que l’application de la loi n’avance pas aussi vite que les pratiques du marché et que les entreprises changent constamment les choses. Il est important de souligner que les entreprises ne doivent pas réparer les violations passées et les ignorer, surtout si ces violations durent depuis des années ou ont touché des millions de personnes. Il a dit que s’ils le faisaient, cela enverrait un message dangereux aux entreprises. Nous leur dirions qu’il est acceptable d’enfreindre le RGPD, tant que vous ne vous faites pas prendre. Si vous vous faites prendre, vous pouvez le réparer rapidement afin qu’il n’y ait aucune conséquence. Il doit y avoir des conséquences en cas d’infraction. Sans conséquences, il n’y aura pas de justice et d’effet dissuasif.

Ce rapport a été mis à jour avec la réponse de Google

Vous avez besoin d'améliorer votre visibilité en ligne ?

Nous avons une solution idéale pour votre entreprise

On vous rappelle gratuitement

Valentin & Silvain - Experts Wordpress Woocommerce

Nos garanties

Site internet sur mesure

Une équipe de développeurs web et d'experts en stratégie digitale dédiée dédiée à la réalisation de votre projet

Première page sur Google

Notre agence spécialisée dans la rédaction de contenu SEO vous donne accès aux avantages du référencement local

De nouveaux clients

Améliorez la visibilité de votre entreprise grace au marketing digital sur les moteurs de recherche et réseaux sociaux

Nos chiffres clés

0 %
Satisfaction client
+ 0 /mois
Nouveaux projets
+ 0 M
Visites totales mensuelles