Google accusé de pister illégalement les utilisateurs d'Android par le défenseur de la vie privée NOYB
Google accusé de pister illégalement les utilisateurs d'Android par le défenseur de la vie privée NOYB,
qui demande à la CNIL française d'ouvrir une enquête sur ses pratiques
Maximillian Schrems, un activiste ressortissant autrichien, a porté plainte contre Google dans sa gestion des données personnelles. Plus précisément, il s'est attaqué à l'identifiant Google pour les annonceurs AAID (Advertising ID) qu'il a comparé à une « plaque d’immatriculation numérique ». Selon lui, l’AAID est simplement un traceur sur un smartphone en lieu et place d’un cookie sur un navigateur web.
Maximillian Schrems, qui est à la tête du groupe de protection de la vie privée noyb.eu ((My privacy is None of Your Business), s'est fait connaître dans son combat contre les grandes enseignes technologiques. Quelques heures après l'entrée en vigueur du RGPD, il a accusé Google, Facebook, WhatsApp et Instagram de forcer les utilisateurs à consentir à une publicité ciblée afin de pouvoir utiliser leurs services. C'est à lui que l'on doit l’invalidation du Safe Harbor, le mécanisme qui régissait le transfert des données des Européens vers les USA.
Cette fois-ci, par le biais de son ONG, il a porté plainte devant la Commission nationale de l’informatique et des libertés (CNIL) à propos des pratiques de l’entreprise américaine concernant la publicité ciblée. Voici les faits qui sont mentionnés :
L’appareil Android du plaignant, comme beaucoup d’appareils Android, fonctionne via un système d’exploitation Android (Android OS). Afin de pouvoir utiliser les différentes fonctions d’Android OS, le plaignant a dû accepter les conditions d’utilisation des services Google Play et les règles de confidentialité de Google.
Par défaut, le système d’exploitation Android, tel qu’intégré par le « Google Play Services Toolkit », associe automatiquement chaque appareil Android, dont celui du plaignant, à une chaine de caractères connue sous le nom Advertising ID (« AAID »).
Google définit cet identifiant unique dans ses règles de confidentialité comme étant « une chaîne de caractères permettant d'identifier de manière unique un navigateur, une application ou un appareil. […] Sur d'autres plateformes que les navigateurs, les identifiants uniques permettent de reconnaître un appareil spécifique ou une application installée sur cet appareil. Par exemple, l'identifiant publicitaire permet d’afficher des annonces pertinentes sur les appareils Android… »
L’AAID est très similaire à un identifiant de traçage présent dans un cookie de navigation : Google et des tiers (comme les fournisseurs d’applications) peuvent accéder à l’information stockée dans l'équipement terminal de l’utilisateur. Ceci peut être utilisé afin de déterminer les préférences de l’utilisateur associées avec son AAID et afin d’afficher des annonces pertinentes sur d’autres applications ou même sur des pages de sites web non liés.
En réalité, l’AAID est une « plaque d’immatriculation numérique ». Chaque mouvement de l’utilisateur peut être relié à cette « plaque d’immatriculation » et utilisé pour créer un profil riche à propos de l’utilisateur, ses préférences et son comportement. Ce profil et ces préférences peuvent ensuite être utilisés dans une publicité ciblée, des achats intégrés à l’application, des promotions, etc. Comparé à des traceurs classiques sur l’internet, l’AAID est simplement un traceur sur un smartphone en lieu et place d’un cookie sur un navigateur web.
Dans une plainte déposée mercredi, le groupe de protection de la vie privée de Schrems, Noyb, a fait valoir qu'en créant et en stockant ces codes sans obtenir au préalable l'autorisation explicite des utilisateurs, Google se livrait à des « opérations illégales » qui enfreignaient les lois de l'UE sur la confidentialité.
Noyb a exhorté le régulateur français de la confidentialité des données à lancer une enquête sur les pratiques de suivi de Google et à forcer l'entreprise à se conformer aux règles de confidentialité. Il a fait valoir que des amendes devraient être infligées au géant de la technologie si le chien de garde trouve des preuves d'actes répréhensibles.
Selon lui, cet identifiant surnommé AAID (pour Android Advertising Identifier) permet à Google et aux sociétés tierces de pister des personnes pour établir un profil publicitaire complet. Cependant, selon le cadre législatif européen une telle opération exige le consentement de chacun et chacune avant d’opérer un tel pistage, consentement que Google ne demande pas, selon Schrems. Ce dernier ne s'appuie pas sur le Règlement général pour la protection des données (RGPD), mais plutôt sur une directive du 12 juillet 2002 sur la protection de la vie privée dans le secteur des communications électroniques, dont les dispositions sont reprises dans la loi Informatique et Libertés.
« Grâce à ces identifiants cachés sur votre téléphone, Google et des tiers peuvent suivre les utilisateurs sans leur consentement », a déclaré Stefano Rossetti, avocat spécialisé dans la protection de la vie privée chez Noyb. « C'est comme avoir de la poudre sur les mains et les pieds, laissant une trace de tout ce que vous faites sur votre téléphone, que vous ayez glissé vers la droite ou la gauche jusqu'à la chanson que vous avez téléchargée ».
Google, qui compte environ 300 millions d'utilisateurs d'Android en Europe, fait face à une plainte distincte de Noyb auprès de l'autorité autrichienne de protection des données, qui soutient spécifiquement que les utilisateurs ne peuvent pas supprimer l'identifiant de leurs appareils Android.
Selon des personnes proches de cette plainte, Noyb a choisi de se rapprocher du régulateur français, car son système juridique est bien adapté au traitement des plaintes au titre de la directive européenne ePrivacy. Noyb avait également des inquiétudes quant à l'efficacité de l'autorité irlandaise de protection des données après qu'un certain nombre d'États membres, dont l'Allemagne, l'ont accusée d'une application lente.
Une plainte qui vient après celle lancée contre Apple
L'IDFA, introduit en 2012, est une chaîne de chiffres et de lettres (Ex. : 7D902I08D-7846-4CA4-TE6P-83369125YFDC) attribuée aux appareils Apple tels que les iPhone, iPad et Apple TV. Il s'agit d'un code de suivi qui est automatiquement généré sur chaque iPhone lors de sa configuration. Comme l'AAID sur Android, les annonceurs utilisent l'IDFA pour identifier les utilisateurs d'iOS, d'iPadOS et de tvOS sur les applications afin de diffuser des publicités personnalisées et ciblées, de plafonner la fréquence d'exécution, de mesurer les performances des campagnes et d'attribuer les impressions et les clics aux installations des applications.
Les utilisateurs d'iOS et d'Android peuvent réinitialiser leurs identifiants de téléphone portable, mais cette option est souvent enfouie dans les paramètres du téléphone et de nombreux utilisateurs ne savent pas ce que sont ces identifiants, à quoi ils servent, ni même qu'il y a possibilité de les réinitialiser.
En novembre, NOYB a intenté une action contre Apple au sujet de l'IDFA auprès des autorités allemandes et espagnoles. Le groupe allègue qu'à travers son outil de suivi, Apple collecte, stocke et utilise les informations personnelles des utilisateurs sans leur consentement.
« Apple place des codes comparables à un cookie dans ses téléphones sans le consentement de l'utilisateur. C'est une violation flagrante des lois de l'Union européenne sur la protection de la vie privée », a déclaré Stefano Rossetti, avocat de NOYB. Rossetti a déclaré que cette nouvelle action en justice du groupe vise à établir un principe clair selon lequel « le suivi doit être l'exception et non la règle ». « L’IDFA ne devrait pas seulement être restreint, mais définitivement supprimé », a-t-il déclaré.
Source : Plainte
Voir aussi :
Google annonce la prise en charge du langage Rust pour le développement d'Android, l'intérêt est de résoudre les problèmes de sécurité de la mémoire
Répondre avec citation
Partager