skip to Main Content
1 ÈRE CONDAMNATION RGPD PAR LA CNIL: GOOGLE LE 21 JANVIER 2019, LES PME SONT AUSSI CONCERNÉES

1 ÈRE CONDAMNATION RGPD PAR LA CNIL: GOOGLE LE 21 JANVIER 2019, LES PME SONT AUSSI CONCERNÉES

ENSEIGNEMENTS POUR LES RESPONSABLES DE TRAITEMENT SUR LES PRINCIPES DU PRIVACY BY DESIGN

COUP D’ŒIL

  • Analyse de la décision de la CNIL utilisant pour la 1ère fois la sanction d’une amende sous le nouveau régime du RGPD
  • Pourquoi cette décision sur des pratiques du géant internet Google concerne aussi les PME ?
  • Analyse de la position de la CNIL sur le sujet du respect de la vie privée dès la conception (PBD) de processus de traitement des données personnelles
  • Influence de cette décision sur les pratiques des géants du ciblage publicitaire ?

Quand je lis la première réponse de l’Autorité centrale française à une partie des deux plaintes[1] et [2]déposées les 25 et 26 mai 2018 par l’association française La Quadrature du Net [(LQDN) et l’association à but non lucratif autrichienne None of Your Business (NOYB) je vois surtout une belle leçon sur ce que la CNIL entend par le respect des principes fondateurs du RGPD

L’article 5 du RGPD reprend pour la première fois dans un texte obligatoire les principes du Privacy By Design ou PBD (vie privée dès la conception en français, je garderai l’expression en anglais et l’acronyme PBD ) développé dès les années 90 au Canada.

Les 7 principes du Privacy by design

  1. Prendre des mesures préventives et non correctives
  2. Assurer la protection implicite de la vie privée
  3. Intégrer la protection de la vie privée dans la conception des systèmes et des pratiques
  4. Assurer une fonctionnalité complète selon un paradigme à somme positive et non à somme nulle. Pas sécurité OU vie privée
  5. Assurer la sécurité pendant toute la période de conservation des renseignements
  6. Assurer la visibilité et la transparence
  7. Respecter la vie privée des utilisateurs

L’article 25 du RGPD fait aussi directement référence aux principes de “Protection des données dès la conception et protection des données par défaut“

Les principes essentiels énoncés dans l’art 5 du RGPD font référence aux 7 principes du PBD

  1. licéité, loyauté, transparence
  2. limitation des finalités
  3. minimisation des données
  4. exactitude
  5. limitation des durées de conservation
  6. intégrité et confidentialité
  7. responsabilité (devoir rendre des comptes sur ses traitements de données personnelles)

Ces principes concernent tous les responsables de traitement, quelle que soit la taille de leur organisation.Les PME et TPE doivent comprendre ces principes au même titre que les géants du net.

Les sociétés de marketing digital qui proposent des suivis ciblés de clientèle doivent informer les personnes de façon légale au sens du RGPD et surtout respecter le principe de transparence en informant sur les buts des traitements au bon endroit, au bon moment.

Cette information est transmise souvent via une architecture développée par le responsable de traitement comme ici Google lors de l’enregistrement des utilisateurs sous Android.

La conception des architectures qui présentent un traitement à un utilisateur fait partie intégrante du devoir de loyauté et de transparence des donneurs d’ordre.

Vous verrez que la CNIL dans cette décision analyse le fameux “parcours utilisateur“ que tant de sociétés veulent “améliorer“ alors qu’en fait elles veulent recueillir toujours plus de données.

Je fais référence bien sûr ici aux raisons vagues trop souvent utilisées dans les polices de vie privées pour imposer et justifier des traitements inutiles pour les utilisateurs mais très lucratifs pour les sociétés dont le modèle d’affaire est basé sur l’exploitation et la revente de données ou de ciblage publicitaire.

Google est condamné, entre autres, pour ne pas avoir obtenu un consentement valable au sens du RGPD lors de l’inscription des utilisateurs sur Android et pour ne pas remplir son obligation de transparence lors de l’information des personnes.

Cet article de blog se concentre sur les éclaircissements donnés par une autorité centrale sur la façon de mettre en œuvre réellement un processus de traitement conforme aux principes de PBD et vie privée par défaut.

La décision donne aussi des précisions sur d’autres points déjà traités par la jurisprudence de la Cour de justice européenne, je ne les commenterai pas ici. (Par exemple, la CNIL rappelle qu’elle recherche où sont réellement décidés les traitements de données personnelles pour déterminer l’établissement central de prise de décision sur les traitements de données de la société afin d’en déduire la répartition des compétences entre les autorités centrales européennes concernées : Principe du Guichet unique.

Une remarque intéressante de la CNIL au § 78 de sa décision :

les investigations correspondent au scénario retenu pour effectuer le contrôle en ligne, à savoir le parcours d’un utilisateur et les documents auxquels il pouvait avoir accès lors de la configuration initiale de son équipement mobile utilisant le système d’exploitation Android. Ce parcours incluait la création d’un compte.“

La référence au design de l’interface utilisateur conçu par Google est importante et se rattache directement aux exigences de Privacy By design (PBD) et Vie privée par défaut du RGPD.

Cette première condamnation n’est guère surprenante, la CNIL a communiqué de nombreuses fois sur l’importance du respect des principes de protection des données personnelles dès le design des traitements.

Dans une table ronde le 17 janvier 2019, sur le thème “présentation du cahier La forme des choix – Données personnelles, design et frictions désirables“ il est rapporté que :

“ la CNIL s’interroge dès aujourd’hui sur l’entrée du design dans le champ de l’analyse de conformité des régulateurs.“

Durant cet événement, Mme Isabelle Falque-Pierrotin, Présidente de la CNIL, fait clairement référence à la nécessité de faciliter le parcours des utilisateurs pour qu’ils trouvent au bon moment les informations suffisantes pour un consentement “ donné par un acte positif clair par lequel la personne concernée manifeste de façon libre, spécifique, éclairée et univoque son accord au traitement des données à caractère personnel la concernant (…)“ ( RGPD, considérant 32 )

Elle indique toute l’importance attachée à la présentation des traitements aux personnes notamment au moment du consentement :

“ Il s’agit de pouvoir ne pas être trompé, de pleinement consentir à l’effort dont les entreprises veulent nous soulager, et in fine se dire « oui » ensemble. Et pour y parvenir opérationnellement, l’interface n’a rien de cosmétique. Le design atteint alors tout son sens, celui d’une esthétique au service de l’humain, belle car enracinée dans notre humanité. “

Au § 97 de sa décision la CNIL dit : “ la formation restreinte constate que l’architecture générale de l’information choisie par la société ne permet pas de respecter les obligations du Règlement “

C’est bien sur les choix de conception des interfaces que la CNIL épingle Google.

Elle relève que  le parcours d’un utilisateur est semé volontairement de nombreuses façons de dégouter la personne de continuer à rechercher l’information et d’accepter le traitement pour en finir :

“ les informations qui doivent être communiquées aux personnes en application de l’article 13 sont excessivement éparpillées dans plusieurs documents (…)

Ces différents documents comportent des boutons et liens qu’il est nécessaire d’activer pour prendre connaissance d’informations complémentaires.

Un tel choix ergonomique entraine une fragmentation des informations obligeant ainsi l’utilisateur à multiplier les clics nécessaires pour accéder aux différents documents.

Celui-ci doit ensuite consulter attentivement une grande quantité d’informations avant de pouvoir identifier le ou les paragraphes pertinents. (…)  compte tenu de cette architecture, certaines informations sont difficilement trouvables “ (VOIR)

Voici un exemple de parcours pour s’informer sur le ciblage publicitaire relevé par la CNIL dans cette affaire:

“ Par exemple, s’agissant des traitements de personnalisation de la publicité,

pour connaitre les informations qui sont collectées auprès de lui pour cette finalité,

un utilisateur doit accomplir de nombreuses actions et combiner plusieurs ressources documentaires.

  • Dans un premier temps, il doit prendre connaissance du document général Règles de confidentialité et conditions d’utilisation ,
  • puis cliquer sur le bouton Plus d’options
  • et ensuite
  • sur le lien En savoir plus pour que soit affichée la page Personnalisation des annonces .

Il aura ainsi accès à une première description du traitement relatif à la personnalisation de la publicité qui s’avère être incomplète.

  • Pour compléter l’information relative aux données traitées dans le cadre de cette finalité, l’utilisateur devra encore consulter dans son intégralité la rubrique proposer des services personnalisés contenue dans le document Règles de confidentialité ,
  • lui-même accessible depuis le document général Règles de confidentialité et conditions d’utilisation .“ (VOIR § 99)

OUF… c’est largement en dehors de tout principe de transparence et de choix facile…

MESSAGE AUX RESPONSABLES DE TRAITEMENTS DANS LES PME

Cette attitude des géants du net paraît extrême et vous pouvez penser que cela ne vous concerne pas .

Pourtant cette pratique est courante dans les services de publicité que vous utilisez peut-être quotidiennement.

Par exemple vous achetez des services de publicité sur Google AdWords ou Facebook Ads.

Quelle information donnez-vous à vos utilisateurs dont ces sociétés recueillent les données souvent comme co-responsables avec vous ?

  • Donnez vous l’information au bon moment c’est-à-dire avant le recueil des données ?
  • Utilisez-vous des interfaces, des présentations de votre traitement de données attractives, agréables, logiques pour les personnes que vous visez ?
  • Plus simple encore, est-il facile pour une personne non entrainée aux arcanes de la gestion des données personnelles de trouver votre police des données avant que le traitement ne soit mis en place ?

La CNIL explique sa démarche aussi dans son cahier IP sur La forme des choix :

Dans le numérique, les interactions entre mondes réels et virtuels sont médiées par des interfaces humains-machines (IHM). Celles-ci sont le fruit du travail de conception conjoint de l’ingénierie (qui définit ses capacités d’actions et réactions) et du design (qui détermine les représentations visuelles, architecturales, verbales… – amenées à guider les usagers dans leurs interactions avec les machines).“

D’ailleurs, Google ne s’y trompe pas en se plaignant dans un communiqué fait lors de son appel contre cette décision de la CNIL

“We’re also concerned about the impact of this ruling on publishers, original content creators and tech companies in Europe and beyond.“

(Traduction libre par l’auteure : “ nous sommes aussi préoccupés par l’impact de cette décision sur les éditeurs, les créateurs de contenus originaux et les société technologiques en Europe et ailleurs “ )

Imposer une structure respectant les principes de Privacy By design et vie privée par défaut contraint les responsables de traitement à la transparence sur des processus parfois extrêmement intrusifs et/ou à très grande échelle sur des populations qui ne réalisent pas vraiment à quel point leurs données sont utilisées.

Le suivi à des fins de ciblage publicitaire, l’exploitation d’un maximum de données personnelles sont le cœur de métier de Google, Amazon, Facebook ou Twitter (entre autres…)

Ces pratiques se sont généralisées sans le consentement “ éclairé “ c’est-à-dire informé des personnes.

Imposer une conception des informations régie par la transparence est tout ce que les sociétés géantes vivant de l’exploitation des données personnelles refusent de faire puisque jusqu’à présent elles ont basé leur modèle d’affaire sur l’aspiration exponentielle de données toujours plus précises, sur tout le monde, souvent sur des personnes qui ne sont pas leurs clientes ou utilisateurs. ( “Facebook admet collecter les données personnelles des non-utilisateurs L’entreprise se défend en précisant que d’autres font de même“ Louise Million, Siècle Digital, 18 avril 2018 )

Je ne parle même pas de l’atteinte à la démocratie d’un service comme Facebook qui facilite, par ses algorithmes, la publication de fausses informations sensationnelles = qui génèrent le plus de vues donc qui attirent le plus de monde pour les publicités ( LIRE “ How to fix social media before it’s too late. An early investor on how Facebook lost its way”, Roger McNamee, TIME , January 28, 2019, p 23 à 28 ).

Ce sujet est repris en France dans la nouvelle loi contre la manipulation de l’information

Dans les fils d’actualité, les utilisateurs ne sont pas informés sur la structure même du service qui n’a pour but que de leur montrer des postes qui les inciteront à réagir, à rester sur le service cliquer, donc à voir encore plus de publicités ciblées et à donner encore plus d’informations.

Cette décision de la CNIL n’est qu’un tout petit début d’un enjeu bien plus vaste pour les géants du Net.

“Google et Facebook. Ensemble, ces deux sociétés contrôlent plus de 70 % de la publicité numérique américaine aux États-Unis.“

Ce chiffre donne une idée de la raison pour laquelle Google fait de cette décision de la CNIL une question de principe et s’empresse de faire appel.

D’autres décisions des autorités centrales vont suivre puisque les plaintes portaient sur d’autres points contre d’autres sociétés devant 4 autorités centrales

CAPTURE D’ÉCRAN SUR LE SITE DE NOYB – ( Uniquement à des fins d’information des lecteurs de cet article )

https://noyb.eu/4complaints/?lang=fr

Vous remarquerez les montants possibles d’amendes sur tous les points soulevés…

Cette 1 ère condamnation est relativement faible parce qu’elle porte sur un traitement limité

« Ces faits se rapportent donc aux traitements couverts par la politique de confidentialité présentée à l’utilisateur lors de la création de son compte à l’occasion de la configuration de son téléphone mobile sous Android. » VOIR décision § 78

On parle des GAFA (Apple dans une moindre mesure) mais d’autres géants de la donnée personnelle, peu connus du grand public, dépendent aussi de la récolte d’un maximum de données dans des conditions très opaques d’obtention.

Ces sociétés de trading de données personnelles, par exemple la société française CRITEO (Vous en trouverez bien d’autres sur http://www.youronlinechoices.eu/), ont la capacité de croiser de façon très fine une multitude de données pour cibler toujours plus les personnes et vendre toujours plus d’espaces publicitaires instantanément. “Comme le rappelle Le Monde, c’est également l’une des premières fois que Facebook mentionne directement la concurrence dans sa ligne de défense. David Baser indique dans son billet que les entreprises Amazon, Google, Twitter, ou encore Pinterest et LinkedIn « proposent ce type de services et, comme Facebook, elles obtiennent aussi des informations de la part des apps et des sites qui les utilisent » “

CONCLUSION

Cette première piqûre de rappel à un géant de la donnée personnelle sera suivie d’autres décisions.

  • La CNIL démontre sa volonté de faire respecter les principes du Privacy By design et de la vie privée par défaut dans les traitements et
  • elle ne se contente pas des affirmations des sociétés responsables des traitements,
  • elle va reproduire exactement le parcours d’un utilisateur moyen et vérifier très finement si les informations (obligation de transparence ) sont réellement données au bon moment et accessibles facilement sans avoir à cliquer 6 fois avant de tomber sur l’information nécessaire.
  • Les pratiques communes des éditeurs de trop nombreux sites consistant à créer des parcours du combattant pour leurs utilisateurs afin de les empêcher de refuser des traitements intrusifs de leurs données devraient appartenir au passé.

Bien sûr, nous en sommes encore loin, les enjeux économiques sont énormes et les régulateurs européens ont affaire à des géants avec des budgets quasi étatiques.

Le vent a cependant quelque peu tourné après le scandale de Cambridge Analytica impliquant des pratiques scandaleuses de Facebook

Suivons la suite du bras de fer engagé contre les géants de la publicité. Il est certain que nous ne sommes qu’au début de l’application du RGPD


NOTES

RÈGLEMENT (UE) 2016/679 DU PARLEMENT EUROPÉEN ET DU CONSEIL du 27 avril 2016 relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données, RGPD  https://eur-lex.europa.eu/legal-content/FR/TXT/PDF/?uri=CELEX:32016R0679&from=FR

Délibération de la formation restreinte n° SAN – 2019-001 du 21 janvier 2019 prononçant une sanction pécuniaire à l’encontre de la société GOOGLE LLC https://www.cnil.fr/sites/default/files/atoms/files/san-2019-001_21-01-2019.pdf https://www.cnil.fr/sites/default/files/atoms/files/san-2019-001_21-01-2019.pd

NOYB https://noyb.eu/?lang=fr “association à but non lucratif valablement constituée sur le territoire autrichien depuis 12 juin 2017. Il ressort de ses statuts que son objet est notamment de représenter les droits et les intérêts des utilisateurs dans le domaine numérique (notamment les droits des consommateurs, les droits fondamentaux de la vie privée, la protection des données, la liberté d’expression, la liberté d’information et le droit fondamental à un recours effectif).“ Délibération CNIL, §61

“La Quadrature du Net https://www.laquadrature.net/ “une association de loi 1901 déclarée en préfecture le 5 février 2013. Elle prévoit dans ses statuts que « l’Association a pour objet désintéressé et non lucratif », notamment, « l’encouragement de l’autonomie des usagers et leur prise de contrôle sur les données les concernant » ainsi que « la défense des intérêts sociaux, culturels, d’innovation et de développement humain des citoyens » “ Délibération CNIL, §60,

Les principes du PBD ont été développés dans cette langue au Canada dès les années 90 par Ann Cavoukian, PhD. http://www.cil.cnrs.fr/CIL/IMG/pdf/operationalizing-pbd-guide.pdf et https://www.ipc.on.ca/wp-content/uploads/resources/7foundationalprinciples.pdf

“ Le design comme critère de conformité au RGPD selon la CNIL ? Retour sur la table ronde du 17 janvier à l’occasion des derniers Cahiers Innovation & Prospective“ Marie Potelle-Saville, Medium, 20 janvier 2019, emphases ajoutées par l’auteure[ CNIL, cahier IP “La forme des choix – Données personnelles, design et frictions désirables“ https://linc.cnil.fr/sites/default/files/atoms/files/cnil_cahiers_ip6.pdf

, la CNIL rappelle qu’elle recherche où sont réellement décidés les traitements de données personnelles pour déterminer l’établissement central de prise de décision sur les traitements de données de la société afin d’en déduire la répartition des compétences entre les autorités centrales européennes concernées : Principe du Guichet unique.

Vous trouverez des explications sur la notion d’établissement dans mon autre article “Guide RGPD pour PME basées dans un pays tiers “ https://mementosafe.com/guide-rgpd-pme-pays-tiers-suisse/

“ Le design comme critère de conformité au RGPD selon la CNIL ? Retour sur la table ronde du 17 janvier à l’occasion des derniers Cahiers Innovation & Prospective“ Marie Potelle-Saville, Medium, 20 janvier 2019, emphases ajoutées par l’auteurehttps://medium.com/@mariepotel_92429/le-design-comme-crit%C3%A8re-de-conformit%C3%A9-au-rgpd-selon-la-cnil-1e8f9da96b8

CNIL, cahier IP “La forme des choix – Données personnelles, design et frictions désirables“ https://linc.cnil.fr/sites/default/files/atoms/files/cnil_cahiers_ip6.pdf

“Google to appeal €50 million GDPR fine“, Laurens Cerulus, Politico, 23-01-2019, https://www.politico.eu/article/google-appeals-e50-million-gdpr-fine/

“Facebook admet collecter les données personnelles des non-utilisateurs L’entreprise se défend en précisant que d’autres font de même“ Louise Million, Siècle Digital, 18 avril 2018 https://siecledigital.fr/2018/04/18/facebook-admet-collecter-donnees-personnelles-non-utilisateurs/

How to fix social media before it’s too late. An early investor on how Facebook lost its way”, Roger McNamee, TIME , January 28, 2019, p 23 à 28

LOI n° 2018-1202 du 22 décembre 2018 relative à la lutte contre la manipulation de l’information https://www.legifrance.gouv.fr/affichTexte.do;jsessionid=66AA20F7586FBD308CCD31BF13F5095C.tplgfr33s_1?cidTexte=JORFTEXT000037847559&categorieLien=id

“Est-il temps de réglementer le ciblage publicitaire et les entreprises qui en profitent le plus ?“, David Glance , Director of UWA Centre for Software Practice, University of Western Australia ,The Conversation, 18 avril 2018, https://theconversation.com/est-il-temps-de-reglementer-le-ciblage-publicitaire-et-les-entreprises-qui-en-profitent-le-plus-95122

GAFA: GOOGLE, AMAZON, FACEBOOK, APPLE. Apple veut se démarquer cependant en défenseur de la vie privée et semble plus éthique dans son modèle économique

“No tracking, no revenue: Apple’s privacy feature costs ad companies millions “ https://www.theguardian.com/technology/2018/jan/09/apple-tracking-block-costs-advertising-companies-millions-dollars-criteo-web-browser-safari

“Pistage des internautes non inscrits : Facebook s’explique“ le Monde, 17 avril 2018, emphases par l’auteure. https://www.lemonde.fr/pixels/article/2018/04/17/pistage-des-internautes-non-inscrits-facebook-s-explique_5286396_4408996.html

“Cambridge Analytica a accédé aux données de 87 millions d’utilisateurs de Facebook, dont plus de 200 000 en France“ FranceInfo, 04-04-2018, https://www.francetvinfo.fr/internet/reseaux-sociaux/facebook/cambridge-analytica-qui-a-travaille-pour-la-campagne-de-donald-trump-a-accede-aux-donnees-de-87-millions-d-utilisateurs-de-facebook_2689798.html

error: Ce Contenu est protégé
Back To Top