Discussion :

[Stéphane le calme]

Google et Facebook sous le coup de quatre accusations dans quatre pays pour avoir enfreint le RGPD,
quelques heures seulement après son entrée en vigueur

Google, Facebook, WhatsApp et Instagram sont accusées de forcer les utilisateurs à consentir à une publicité ciblée afin de pouvoir utiliser leurs services.

Le groupe de protection de la vie privée noyb.eu (None of Your Business), dirigé par l'activiste Max Schrems, a déclaré que les internautes ne disposaient pas d’un « libre choix ». Rappelons que, suite au scandale de Cambridge Analytica, Facebook a annoncé fin avril qu’il allait modifier sa politique de confidentialité en obligeant les utilisateurs de sa plateforme à accepter que certaines de leurs données ou activités soient collectées ou pistées en fonction de leurs interactions.

Dans un message qui a progressivement été diffusé à ses utilisateurs européens depuis la mi-mai, Facebook a entrepris de les présenter. Le message de Facebook commence comme suit :

« Svp, acceptez la mise à jour de nos conditions pour continuer à utiliser Facebook.

« Nous avons mis à jour nos conditions d’utilisation pour mieux expliquer nos services et ce que nous demandons de tous ceux qui utilisent Facebook.

« Nous vous avons facilité le contrôle de vos données, de votre vie privée, ainsi que de vos paramètres de sécurité au même endroit, ce que vous pouvez modifier en tout temps dans Paramètres. Nous avons également fait une mise à jour de notre politique d’utilisation des données ainsi que de notre politique relative aux cookies afin de refléter les nouvelles fonctionnalités sur lesquelles nous avons travaillé et pour vous expliquer un peu plus comment nous créons une expérience personnalisée pour vous ».

Google, pour sa part, a décidé de simplifier sa politique en matière de données personnelles.

« Nous avons amélioré la navigation et l’organisation de nos conditions d’utilisation pour faciliter la recherche, expliqué nos pratiques en détails et ajouté plus de détails sur les options dont vous disposez pour gérer les données personnelles collectées par nos services » avait alors expliqué William Malcolm, directeur de la protection de la vie privée chez Google.

Par exemple, la rubrique Mon Activité qui permet « d’activer ou désactiver l’historique des positions, l’activité sur le Web et les applications, l’historique des recherches YouTube et plus, sur tous les appareils connectés à votre compte ». Comme le veut la RGPD, Google a aussi amélioré la portabilité des données personnelles de ses utilisateurs. Google a ainsi mis en place le projet open source Data Transfer Project, qui permet de transférer aisément vos données d’un service à un autre.

Le problème ?

Le règlement général sur la protection des données est entré en vigueur depuis quelques heures. Il vient modifier la façon dont les données personnelles peuvent être collectées et utilisées. Même les entreprises basées en dehors de l'UE doivent suivre les nouvelles règles si elles proposent leurs services dans l'UE.

Les mesures prises par les plateformes ne sont apparemment pas suffisantes pour Maximilian Schrems, célèbre activiste autrichien. Aussi, dans ses quatre plaintes, noyb.eu soutient que les entreprises citées sont en infraction avec le RGPD parce qu'elles ont adopté une approche « à prendre ou à laisser ». Les plaintes ont été déposées par quatre citoyens de l'UE auprès de régulateurs locaux en Autriche, en Belgique, en France et en Allemagne.

Les analystes et les régulateurs s'attendaient à ce que les plaintes soient déposées peu après l'introduction de la loi, alors que les organisations et les défenseurs de la vie privée se disputent sur la façon dont la loi devrait être interprétée.

Pour Andrea Jelinek, présidente du Groupe de travail Article 29 sur la protection des données, la plainte de Maximilian Schrems tient debout. L’autrichien affirme que les procédures mises en place par Facebook et Google pour coller au RGPD ne respectent justement pas les principes de la réglementation. Soit vous acceptez que vos données soient collectées, soit vous êtes contraint de ne plus utiliser des services comme WhatsApp ou Instagram, explique-t-il au Financial Times.

Des amendes intimidantes

Certaines entreprises basées en dehors de l'UE ont temporairement bloqué leurs services à travers l'Europe pour éviter de tomber sous le coup de la nouvelle législation. D’autres ont décidé de cesser toutes leurs activités en Europe de façon définitive.

Les entreprises qui tombent sous le coup du RGPD peuvent être soumises à une amende de 20 millions d’euros ou à 4 % de leur chiffre d’affaires.

Facebook a déclaré dans un communiqué qu'il avait passé 18 mois à se préparer à s'assurer qu'il répondait aux exigences du RGPD.

Dans sa plainte, Maximilian Schrems réclame jusqu’à 4,4 milliards de dollars (3,7 milliards d’euros) à Alphabet, la maison mère de Google et jusqu’à 1,6 milliard de dollars (1,3 milliard d’euros) à Facebook. Pour établir ces montants, l’activiste s’est basé sur le chiffre d’affaires des deux entreprises. Google et Facebook ont fermement nié les accusations portées à leur encontre.

Source : BBC, FT

conditions d'utilisation des services Google
conditions d'utilisation des services Facebook

Voir aussi :

Facebook met à jour sa politique d'utilisation et oblige ses utilisateurs EU à accepter le pistage, sous peine de ne plus utiliser sa plateforme
Facebook va demander à ses utilisateurs d'accepter que certaines de leurs activités soient pistées, par souci de rentabilité
Le RGPD sème la panique sur le web : certaines entreprises envoient des courriels inutiles ou illégaux, des sites bloquent les européens
UK : à l'approche du RGPD, l'Université de Greenwich condamnée à une amende de 120 000 £ pour avoir exposé les données de 20 000 personnes
Microsoft présente ses solutions de conformité au RGPD, afin d'aider les entreprises à réduire les risques en matière de conformité

[JackIsJack]

Comme si la justice n'avait pas d'autres chats à fouetter !

Les pauvres chouchoux se plaignent d'avoir de la publicité ciblée quand ils utilisent facebook et google ; ils n'ont pas trouvé une meilleure cause à défendre dans ce monde !

Si nous étions en dictature avec un usage réellement mal-honnête de nos données (emprisonnement de opposants politiques, discriminations economiques...), alors oui ce combat aurait un sens...

Là c'est simplement ridicule mais je suis certain que ces mecs s'imaginent défendre une cause suprême parce que le sujet touche à leur petit-égo.

[Devjfc]

Le BuGPD c'est - comme la neutralité du net - l'incompréhension du "BUG" de l'Internet par les informaticiens d'abord et les lawyers de Bruxelles ensuite, qui l’en étendent bougrement. Le "BUG" de l'internet c'est que pour réussir sur un réseau TCP/IP "one has to Be Unilaterally Global".

Ceci résulte - de façon simple à comprendre - du modèle à quatre couches au lieu du modèle à 7 couches. La pile protocolaire n'a pas (faute de couche présentation) la capacité suffisante pour maintenir l'ordre nécessaire à l'interopérabilité des données transportées de bout en bout (cohérence multilatérale). Cet ordre résulte alors non plus de la pile protocolaire, mais de l'usage : dans la pratique, on en délègue la gestion, mais pour que cela marche il faut que tout le monde la délègue au même opérateur. C'est ainsi que par attrition marché (rachats par les/le plus gros) on en arrive à des "monopoles radicaux" (c'est à dire de fait) où - au nom de la possibilité de partage du net - on en vient à des opérateurs uniques (FaceBook, Twitter, ICANN, etc.) qui deviennent garants de la neutralité d'un type d'usage (niveau du contenu) du net.

Le problème est que - si peu à peu l'absence de couche 6 présentation est susceptible de se résoudre par la pensée "TCP/JP" que l'on voit pouvoir émerger avec le travail sur JMAP - l'on a maintenant en plus le BuGPD. C'est à dire un total renversement du droit de l'homme par les abus
s des hommes. Jusqu'à présent, les DDH protègent mes droits locaux à moi-même, qu'ils décrivent, en interdisant aux autres de me faire du mal. Tout d'un coup, le RGPD me donne des droits globaux, c'est à dire chez tout le monde. Le for intérieur des autres (leur savoir personnel) est soumis à ma souveraineté universelle sur ce qui me concerne. Et mon for intérieur à moi est de même soumis à la multitude (qui m'est rendue insâchable - OK pour le temps de l'accord, mais refus pour le temps de la menace potentielle) : je peux perdre la valeur de 4% de mon CA, alors que ma marge finale est sans doute inférieure, à l'initiative individuelle de millions d'autruis.

Les autres n'ont plus seulement interdiction de me faire du mal, mais interdiction de pouvoir, d'avoir la capacité me faire du mal.

Tout cela est assez compliqué, car c'est tout le vivre ensemble numérique qui est impliqué (et donc également le vivre ensemble anthropo-botique) avec un parlement européen qui a déjà commis le conseil des Ministres à produire de la législation :
* pour les personnes privées s'alignant sur la pensée juridique pour les personnes morales (donc RGPD, brevets, etc.)
* et les personnes artificielles.

Ce qui est réellement en jeu est le droit du "mnème". Le mnème est avec le cyber une proposition d'Ampère. C'est l'ensemble des traces mémorielles d'une personne, d'une chose, d'un événement. C'est en fait le corpus qui mis dans un processus artificiel intelligent va conduire à la survie numérique de Kurzweil. Le RGPD c'est un pas culturel clé : on passe d'une économie du libre savoir à la connaissance contrôlée ... par qui saura quand même. Google ou l'Etat. A noter que la connaissance s'achète, le savoir sait déjà et n'a pas besoin d'acheter sans cesse. Dans les déclarations du SMSI en anglais on pare de communication populaire et de knowledge (connaissance) et en français d'humain et de savoir. En espagnol, si l'on dit que la société de l'information doit être "centrada en la persona" on parle malheureusement de "conocimiento".

Comprenons l'incompréhension : les informations des données reçues s'accumulent dans notre connaissance (c'est la définition de l'information : ce qui accroit la connaissance). Mais ensuite nous allons les traiter en les comparant avec nos autres connaissances et le savoir que nous avons construit. Par le processus de syllogisme qui fait apparaître des choses nouvelles qui sont les nôtres et que nous gardons en mémoire (les mnémées ou mnémata). Elles peuvent porter sur autrui, mais grâce à d'autres autrui et à notre intelligence. Notre être, notre personne c'est notre processus cogital sur notre mnème (ce que l'on appelle la conscience ...) , que d'autres peuvent vouloir imaginer pour savoir ce que nous pensons, ou que nous pouvons ressentir par empathie (cellules miroir, etc.). C'est cela que le RGPD nous interdit. L'handicap mémoriel ... Certes, ces informations me permettent de faire du mal, mais aussi de faire du bien. C'est ma qualité d'homme. Le RGPD nous punit (privation de savoir) en raison de ce que nous pourrions en faire de mal, et nous interdit ce que l'on pourrait en faire de bien. Il n'y a pas de plus grande aliénation que cette mort mémorielle.

Au moment où les puces quantiques se pointent qui vont mettre l'immédiat à portée de catalyse intellectuelle informatique ! Comprenons que ce qui se passe est ce qui s'appelle l'ouverture causale. Newton & co nous ont amenés à penser selon la "clôture causale", c'est-à-dire qu'un effet physique ne pouvait avoir une cause que physique. Ce sont tous les matérialismes et les grandes idéologies récentes. Turin a cassé tout cela : la machine de Turing prend une cause intellectuelle (du code) pour en faire la commande (cause) d'une action matérielle. Cela veut dire que notre univers n'est pas 4D, mais 4D+n, n étant l'ensemble des dimensions conceptuelles de la pensée, assistée maintenant par ordinateur et bientôt par ordinateur quantique (c'est à dire au niveau du nano-immédiat (temps de Plank). Et c'est là que le RGPD nous veut des zombies qui ne sachent que ce que dans l'instant veut leur vendre Google.

Google l'a bien compris en retirant son "don't be evil".

Le problème n'est pas de rechercher et d'enseigner la pensée complexe, mais de penser correctement dans un monde dont atteignons la complexité profonde.

[_champy_]

Si nous étions en dictature avec un usage réellement mal-honnête de nos données (emprisonnement de opposants politiques, discriminations economiques...), alors oui ce combat aurait un sens...

C'est la base du droit à l'oubli !!!!! Tu ne sait pas comment vas évoluer la situation politique, tu peut l'imaginer sur quelques années mais dans 60 ans tes données serons toujours la et tu pourras très bien être sous une dictature (de droite ou de gauche peut importe) !!!

Et si tu croit être à l'abri a cause de cette échelle de temps (tu seras mort) , tes enfants, tes petits enfants eu ne le serons pas !!! Il est très fréquent pour des dictateurs d'éliminer la descendance des dissidents.

Quand tu voit le poids que pèse as eux seul les outils télémétrique publicitaire, environ 90% du poids total sur certains sites (voir la news a se sujet sur développez), on peut en conclure que 90% de l'énergie utilisé pour faire vivre internet (le web pas le minage hein ) l'est en fait pour faire vivre les publicitaires. Quand on regarde les problèmes écologiques auquel notre génération est confronté c'est clairement criminel, ces gens devrais être punis très sévèrement.

Après le RGPD c'est clairement la grosse galère, sans expert , sans audit, impossible d'être sur que tu est dans les clous, du coup il y as des sous à faire et certaines boites vont en profiter.

[Stéphane le calme]

RGPD : la Quadrature du Net et 12 000 internautes déposent des plaintes à la CNIL,
pour attaquer les GAFAM en recours collectif

En France, la Quadrature du Net, association française de défense des internautes, a profité de l’entrée en application du règlement européen, qui prévoit une d’action collective. L’association de défense des internautes a déposé ce lundi 28 mai des plaintes auprès de la CNIL contre Google (Gmail, YouTube, Search), Apple, Facebook, Amazon et LinkedIn (Microsoft), les accusant d’exploiter de manière illégale les données personnelles de leurs usagers.

« Voilà six semaines que nous avons lancé notre campagne pour vous inviter à rejoindre nos plaintes contre les GAFAM. Et ces six semaines ont suffi à réunir plus de 12 000 d'entre vous autour de ces plaintes collectives ! Pour comparer, en une année entière, celle de 2017, la CNIL a été saisie de 8 360 plaintes individuelles », a indiqué l’association.

Mais ce n’est pas la CNIL qui instruira ces dossiers. Son rôle consistera à dispatcher ces recours dans les États européens, en tenant compte de la localisation du quartier général pour l’Europe de chaque entreprise du web qui est attaqué.

En effet, la Quadrature rappelle que : « D'ici un mois au mieux, la CNIL devrait rendre une première décision pour répartir les différentes plaintes entre les autorités de plusieurs États européens. C'est désormais la règle avec le règlement général sur la protection des données (RGPD) : si une entreprise collecte des données sur plusieurs pays, les CNIL de tous ces pays doivent collaborer pour trouver une décision commune (ce qui évite le forum shopping, et pourrait donc être une assez bonne nouveauté si tout se passe bien). La CNIL d'un de ces États (celui où l'entreprise a le centre de ses activités dans l'Union européenne) est ainsi désignée « autorité chef de file » et est chargée de conduire l'instruction et d'animer cette coopération ».

Si l’association vise 12 services au total, elle a décidé de procéder par salves pour des raisons stratégiques et de ne cibler que 7 services pour le moment : trois de Google (Gmail, YouTube et Google Search), Facebook, Amazon, Apple et LinkedIn. La seconde salve va viser deux propriétés de Facebook (WhatsApp et Instagram), deux de Microsoft (Outlook et Skype) et une de Google (Android)

L’association explique que l’autorité irlandaise, qui va probablement réceptionner toutes les plaintes à l’exception de celle dirigée contre Amazon (qui ira au Luxembourg), « ayant déjà pas mal à faire avec les instructions en cours contre les nombreux GAFAM qu'elle surveille habituellement, il nous a semblé plus sage de ne pas immédiatement la submerger de toutes nos plaintes : mieux vaut obtenir de bonnes décisions ciblées et faire jurisprudence le plus rapidement possible ».

« Nous avons donc choisi d'ouvrir le feu en attaquant 7 des 12 services initialement visés, et d'attendre un peu de voir comment les choses évoluent avant de lancer la procédure contre les 5 services restants (Whatsapp, Instagram, Android, Outlook et Skype). La procédure de coopération entre les CNIL européennes prendra de bien nombreux mois : inutile de se précipiter dès le début », poursuit l’association.

Les plaintes, qui rassemblent les noms de près de 12 000 personnes, sont accessibles en ligne et la Quadrature insiste sur le fait qu’elles sont librement réutilisables par n'importe qui voulant s'en inspirer pour attaquer des GAFAM ou tant d'autres.

Source : La Quadrature du Net

Voir aussi :

Facebook met à jour sa politique d'utilisation et oblige ses utilisateurs EU à accepter le pistage, sous peine de ne plus utiliser sa plateforme
Facebook va demander à ses utilisateurs d'accepter que certaines de leurs activités soient pistées, par souci de rentabilité
Le RGPD sème la panique sur le web : certaines entreprises envoient des courriels inutiles ou illégaux, des sites bloquent les européens
UK : à l'approche du RGPD, l'Université de Greenwich condamnée à une amende de 120 000 £ pour avoir exposé les données de 20 000 personnes
Microsoft présente ses solutions de conformité au RGPD, afin d'aider les entreprises à réduire les risques en matière de conformité

[Jon Shannow]

Personnellement, je trouve la méthode de Google et Facebook tout à fait logique.
En gros, vous voulez utiliser nos services ? OK, voici les conditions. Si vous ne les acceptez pas, ben, alors n'utilisez pas nos services.

C'est pas comme si Google,Facebook les empêchaient de se nourrir, de boire ou de respirer. C'est juste des services web, il en existe d'autres qui font la même chose. Il suffit de changer de crémerie.

C'est un peu comme si ces gens portaient plainte contre Renault (marque au hasard) parce qu'ils n'aiment pas le logo sur leur voiture ! Ben, fallait pas prendre une Renault, y d'autres marques de voitures !

[Bono_BX]

Personnellement, je trouve la méthode de Google et Facebook tout à fait logique.
En gros, vous voulez utiliser nos services ? OK, voici les conditions. Si vous ne les acceptez pas, ben, alors n'utilisez pas nos services.

C'est pas comme si Google,Facebook les empêchaient de se nourrir, de boire ou de respirer. C'est juste des services web, il en existe d'autres qui font la même chose. Il suffit de changer de crémerie.

Oui et non : il y a effectivement d'autres services équivalents (et même meilleurs), mais il y a la classique position dominante. Dans ma précédente mission (chez un gros du e-commerce), on a eu un problème avec Google Shopping, à cause de leurs API qui comportaient un bug. Réponse de Google : "Oui, on est au courant, mais si vous passez par un autre service vous perdez 50% de visibilité, donc débrouillez-vous."

Google et Facebook sont des espaces de visibilité que l'on ne peut pas éviter. Pour que ta solution soit viable, il faudrait d'abord que les consommateurs changent massivement leurs habitudes. Perso, c'est fait pour Google, vive QWant pour la recherche et Lilo pour le mail ; pour Facebook, je me retrouve dans le même cercle vicieux : il faudrait que la majorité de mes amis changent, et ils ne sont pas forcément faciles à bouger !

[Jon Shannow]

Oui et non : il y a effectivement d'autres services équivalents (et même meilleurs), mais il y a la classique position dominante. Dans ma précédente mission (chez un gros du e-commerce), on a eu un problème avec Google Shopping, à cause de leurs API qui comportaient un bug. Réponse de Google : "Oui, on est au courant, mais si vous passez par un autre service vous perdez 50% de visibilité, donc débrouillez-vous."

Google et Facebook sont des espaces de visibilité que l'on ne peut pas éviter. Pour que ta solution soit viable, il faudrait d'abord que les consommateurs changent massivement leurs habitudes. Perso, c'est fait pour Google, vive QWant pour la recherche et Lilo pour le mail ; pour Facebook, je me retrouve dans le même cercle vicieux : il faudrait que la majorité de mes amis changent, et ils ne sont pas forcément faciles à bouger !

On n'est bien d'accord. C'est donc aux consommateurs de changer, pour faire changer. Le temps que la majorité se comportera comme des moutons, nous serons tous tondus !
Il y a trois choses qui comptent dans l'Histoire :
1 : Le Nombre
2 : Le Nombre
et 3 : Le Nombre


Donc, si une majorité veut que Google & consort modifient leurs règles, alors ils changeront. Mais, ce n'est pas gagné !

[kmedghaith]

Personnellement, je trouve la méthode de Google et Facebook tout à fait logique.
En gros, vous voulez utiliser nos services ? OK, voici les conditions. Si vous ne les acceptez pas, ben, alors n'utilisez pas nos services.

C'est pas comme si Google,Facebook les empêchaient de se nourrir, de boire ou de respirer. C'est juste des services web, il en existe d'autres qui font la même chose. Il suffit de changer de crémerie.
!

Justement, il n'y a pas que ca. A chaque fois que tu vas sur une page dans laquelle il y a un bouton "J'aime" de chez FB (ou autre), tes méta données (@ ip, taille écran, os, ...) sont collectées par FB et permettent de t'identifier en recoupant avec d'autres données, même si tu n'es pas connecté à FB en ce moment là. Et ca, ca pose vachement problème.

[Jon Shannow]

Et pourquoi, ça pose problème, puisque j'en suis conscient et consentant ?
C'est comme ceux qui fument. On leur dit que c'est mauvais pour leur santé, ils en sont conscients, ils prennent le risque. C'est s'ils viennent se plaindre qu'ils ont choppé un cancer à cause du tabac, qu'il y a un problème. Faut assumer ses choix. Dans le cas du tabac, l'autre problème c'est que ces personnes vont couter cher à la société, mais c'est un autre débat.

[benjani13]

Jon, on ne peut pas laisser les entreprises faire tout et n’importe quoi en se disant que les consommateurs feront le tri.

[Marco46]

Et pourquoi, ça pose problème, puisque j'en suis conscient et consentant ?

Pas forcément, Facebook collecte aussi les données des "non-users". Si tu vas sur une page qui contient un bouton j'aime, que tu sois connecté ou pas, utilisateur de facebook ou pas, facebook crée une empreinte numérique de ta connexion (ip, FAI, user-agent, adresse MAC, etc ...) et va gentiment ranger ta visite avec les autres.

Donc tu es fiché même sans être un utilisateur ni sans avoir accepté quoi que ce soit.

Pour ce qui est des utilisateurs consentants je suis plutôt d'accord avec toi, mais il faut reconnaitre que le problème de position dominante complexifie la question (aller sur un autre réseau social ok mais pour réseauter avec qui si tous mes contacts sont sur FB ?).

[LSMetag]

Et pourquoi, ça pose problème, puisque j'en suis conscient et consentant ?
C'est comme ceux qui fument. On leur dit que c'est mauvais pour leur santé, ils en sont conscients, ils prennent le risque. C'est s'ils viennent se plaindre qu'ils ont choppé un cancer à cause du tabac, qu'il y a un problème. Faut assumer ses choix. Dans le cas du tabac, l'autre problème c'est que ces personnes vont couter cher à la société, mais c'est un autre débat.

Les gens ne sont pas consentants ! Je n'ai appris qu'il y a peu que même sans cliquer dessus la simple présence du bouton "J'aime" suffisait à te pomper tes données. Je ne suis pourtant pas un utilisateur lambda. La je ne suis clairement pas consentant et j'ai renforcé mes blocages de pubs après l'avoir appris.

Si je suis sur Facebook c'est un peu par obligation. Pour la visibilité, et parce que, et c'est un bon point pour Facebook, j'y ai trouvé des personnes intéressantes (souvent loin de chez moi), mais qui n'utilisent que Facebook car leur réseau d'amis est aussi sur Facebook. Facebook est en quelque sorte un virus. Si tu commences à l'utiliser, tu te crées une vie parallèle, qui est tentaculaire du fait de celle des autres, et après tu es coincé.

Facebook est clairement en abus de position dominante. Je ne connais pas d'alternative d'ailleurs.

[Bono_BX]

Justement, il n'y a pas que ca. A chaque fois que tu vas sur une page dans laquelle il y a un bouton "J'aime" de chez FB (ou autre), tes méta données (@ ip, taille écran, os, ...) sont collectées par FB et permettent de t'identifier en recoupant avec d'autres données, même si tu n'es pas connecté à FB en ce moment là. Et ca, ca pose vachement problème.

Alors pour ça, il y a une extension Firefox qui bloque ce genre de cochonnerie. Et puis en plus ça permettra de dégager un autre malware made in Google : Chrome (ok, je suis un peu extrême).
Sinon, il y a des trucs genre Ghostery qui permettent de bloquer les trackers, il me semble (j'avoue que je ne suis pas sûr pour les boutons "J'aime").

[Coriolan]

La CNIL inflige une amende record de 50 millions d'euros à Google
Une première sanction d'un géant américain dans le cadre du RGPD

À quelques mois après l’entrée en vigueur du RGPD, la CNIL (Commission nationale de l’informatique et des libertés) a infligé une amende record de 50 millions d’euros à l’encontre de Google, devenant ainsi la première instance européenne à sanctionner un géant du numérique dans le cadre du règlement.

Les faits remontent à mai 2018, le mois durant lequel la Quadrature du Net et 12 000 internautes ont déposé des plaintes à la CNIL pour attaquer les GAFAM en recours collectif. Cette plainte est survenue après que Google et Facebook ont été accusés dans quatre pays d’avoir enfreint le RGPD, quelques heures seulement après son entrée en vigueur.

Après ce recours collectif, la CNIL a commencé l’instruction des plaintes. Il a été question en premier lieu de savoir si le gendarme français est apte de traiter les deux plaintes collectives, une action menée avec les homologues européens du gendarme français de la vie privée.

Le RGPD a institué un mécanisme de “guichet unique” « qui prévoit qu’un organisme établi dans l’Union européenne doit avoir pour seule interlocutrice l’autorité du pays où est situé son ‘établissement principal’ ». La CNIL a déterminé avec l’autorité de protection irlandaise que Google ne disposait pas d’un établissement principal en Europe.

« L’établissement irlandais ne disposait pas d’un pouvoir de décision sur les traitements mis en œuvre dans le cadre du système d’exploitation Android et des services fournis par GOOGLE LLC en lien avec la création d’un compte utilisateur lors de la configuration d’un téléphone mobile », a écrit la CNIL.

Le système de “guichet unique” n’étant pas applicable, la CNIL a conclu avoir la compétence de prendre des décisions concernant les traitements mis en œuvre par Google en conformité avec le RGPD.

Toujours dans le cadre de l’instruction des plaintes, la CNIL a mené en septembre 2018 un contrôle en ligne. Le but de cette démarche est de savoir si les traitements de données personnelles réalisés par Google sont conformes à la loi informatique et libertés et au RGPD. Ainsi, ont été analysés « le parcours d’un utilisateur et les documents auxquels il peut avoir accès en créant un compte Google lors de la configuration de son équipement mobile sous Android. »

Google transgresse le RGPD

Suite à ses investigations, la formation restreinte de la CNIL a constaté deux manquements majeurs au RGPD :

Un manquement à l'obligation de transparence et d’information

La CNIL a constaté que des informations essentielles (traitement des données, durée de conservation, utilisation pour la personnalisation de la publicité) sont dispersées sur plusieurs documents. Cette architecture générale de l’information choisie par Google rend difficile l’accès à ces informations par les utilisateurs. Parfois, pour disposer d’une information pertinente, l’utilisateur est contraint de passer par plusieurs étapes, impliquant parfois jusqu’à cinq ou six actions. De plus, l’information fournie n’est pas toujours claire et compréhensible, a conclu la formation restreinte.

Selon la CNIL, ce manquement à la transparence ne permet pas aux utilisateurs de saisir l’ampleur des traitements de Google auxquels leurs données sont soumises.

« La formation restreinte constate que les finalités sont décrites de façon trop générique et vague, tout comme les données traitées pour ces différentes finalités. De même, l’information délivrée n’est pas suffisamment claire pour que l’utilisateur comprenne que la base juridique des traitements de personnalisation de la publicité est le consentement, et non l’intérêt légitime de la société GOOGLE », a écrit la CNIL.

Un manquement à l’obligation de disposer d’une base légale pour les traitements de personnalisation de la publicité

Google est une société qui se finance principalement par la publicité, une publicité ciblée qui se base sur le traitement de données utilisateurs. Si la firme assure qu’elle requiert le consentement des utilisateurs pour exploiter leurs données, la CNIL estime que ce processus lui aussi manque de clarté. Les utilisateurs sont dépourvus d’informations claires et directes. Plutôt, Google affiche une information « diluée dans plusieurs documents » qui ne permet pas là encore de saisir l’ampleur des traitements de Google. La CNIL a donné l’exemple de la rubrique de « Personnalisation des annonces ».

« Il n’est pas possible de prendre connaissance de la pluralité des services, sites, applications impliquées dans ces traitements (Google search, YouTube, Google home, Google maps, Play Store, Google photo…) et donc du volume de données traitées et combinées. »

Au bout du compte, la CNIL estime que le consentement recueilli par Google n’est pas « spécifique » et « univoque ». L’utilisateur étant contraint de cliquer sur « plus d’options » pour accéder aux paramètres, dont certains comme l’affichage d’annonces personnalisées sont cochés par défaut. Or, le RGPD exige que le consentement ne puisse être considéré comme « univoque » que si l’utilisateur choisit intentionnellement d’effectuer un acte positif, explique la CNIL.

De même, le gendarme français a constaté que le consentement des utilisateurs n’est pas spécifique. En effet, Google emploie un procédé qui laisse l’utilisateur accepter en bloc des conditions d’utilisation qui répondent aux finalités poursuivies par la firme, une modalité contraire au RGPD qui exige que le consentement doit être donné « de manière distincte pour chaque finalité ».

Une amende de 50 millions d’euros

Suite à ces manquements, la formation restreinte de la CNIL a prononcé une sanction de 50 millions d’euros à l’encontre de Google. Un montant record qui se justifie par « la gravité des manquements constatés. »

La CNIL a rappelé que le modèle économique de Google est basé sur la publicité personnalisée. Or, la firme ne présente pas des garanties fondamentales concernant les traitements des données utilisateurs qui peuvent « révéler des pans entiers de leur vie privée, car reposant sur un volume considérable de données, une grande variété de services et des possibilités de combinaison de données quasi illimitées », a indiqué la CNIL.

En France, ce sont des milliers de Français qui créent un compte Google chaque jour pour l’utilisation d’un terminal Android. Sans les dispositions du RGPD, ces utilisateurs ne se rendent tout simplement pas compte du processus de l’exploitation de leurs données. La CNIL a noté que ces manquements ne sont pas ponctuels, ils perdurent dans le temps en violation continue du traitement.

Une amende record, mais pas suffisante

L’amende infligée à Google par la CNIL constitue un record, mais on devrait se demander si elle va perturber Google, la société ayant généré 32,32 milliards de dollars durant le quatrième trimestre de 2018, soit 384,76 millions de $ chaque jour. De ce fait, le montant de 50 millions d’euros apparait comme étant dérisoire, surtout qu’on parle là d’une violation d’un règlement majeur de protection de la vie privée par Google dans ses services et produits phares.

Suite à cette sanction, un porte-parole de Google a déclaré que l'entreprise est « profondément engagée » à respecter les « normes élevées de transparence et de contrôle » attendues. La firme a indiqué qu’elle est en train d’étudier la décision de la CNIL pour déterminer ses prochaines actions.

Source : cnil

Et vous ?

Qu’en pensez-vous ?
Pensez-vous que cette sanction va perturber Google et les autres géants du numérique ?
Pensez-vous que les utilisateurs vont limiter leur utilisation des services de Google après cette amende ?

Voir aussi

Droit à l'oubli : un avocat de la CJUE estime que Google peut le limiter aux recherches effectuées en UE malgré les demandes de la CNIL
La Cnil condamne Bouygues à une amende de 250 000 euros pour une faille de sécurité qui a impacté les données de plus de deux millions de clients
La CNIL inflige une amende de 400 000 euros à Uber pour le piratage dont la société a été victime en 2016

[Coriolan]

RGPD : Google va faire appel de l'amende inédite infligée par la Cnil
le géant de la recherche compte saisir le Conseil d’État

Google a fait savoir mercredi qu’il va faire appel de l’amende de 50 millions d'euros infligée en France par la Commission nationale de l’informatique et des libertés (CNIL) pour mésinformation de ses utilisateurs sur l’utilisation de leurs données personnelles.

« Nous avons travaillé dur pour mettre au point un processus de consentement conforme au RGPD pour les publicités personnalisées aussi transparent et simple que possible », a dit un porte-parole de la filiale du groupe Alphabet.

« Nous sommes aussi inquiets de l’impact de cette décision pour les éditeurs, les créateurs de contenus originaux et les entreprises technologiques en Europe et ailleurs. Pour toutes ces raisons, nous avons maintenant décidé de faire appel. »

Pour ces raisons, le géant de la recherche compte saisir le Conseil d’État. Pour rappel, une plainte à l’encontre de Google a été déposée par la Quadrature du Net et None Of Your Business (NOYB) dès l’entrée en vigueur du RGPD.

Après la sanction de lundi, le gendarme français est devenu le premier régulateur européen à sanctionner un géant du net américain dans le cadre du RGPD. L’amende infligée constitue aussi un record, mais reste insuffisante pour certains qui estiment que les GAFAM doivent être sanctionnés à coût de milliards au vu de leurs bénéfices énormes. À titre d’exemple, Google a généré 32,32 milliards de dollars durant le quatrième trimestre de 2018, soit 384,76 millions de $ par jour.

En cas d’infraction, une amende peut atteindre jusqu'à 4 % du chiffre d'affaires annuel des entreprises ne respectant pas le règlement. Toutefois, la CNIL doit veiller à ce que les amendes qui seront imposées soient « effectives, proportionnées et dissuasives ».

Source : Reuters

Et vous ?

Qu’en pensez-vous ?
Pensez-vous que cette sanction de la Cnil va pousser Google à changer ses pratiques ?

Voir aussi

Google : les données ne sont pas comme le pétrole qui est une ressource épuisable, mais comme la lumière du soleil qui se régénère quand on l'utilise
Directive Copyright : Google confirme qu'il envisage de fermer son service Google News en Europe, en réponse à la taxe sur les liens
Allemagne : des éditeurs de presse continuent l'offensive contre Google et demandent une rémunération pour chaque référencement à un article
Droit à l'oubli : un avocat de la CJUE estime que Google peut le limiter aux recherches effectuées en UE malgré les demandes de la CNIL

[seikida]

J'adore ca:

« Nul utilisateur ne peut se voir refuser l’accès à un service [...]
au motif qu’il n’a pas consenti [...] à un traitement de ses données
à caractère personnel [...] non nécessaire à la fourniture du service.
»

Source: article 8, §1 bis, de la version du règlement « ePrivacy »
adoptée le 23 octobre 2017)

En gros, la GAFA (Google, Facebook et compagnie) ne peuvent meme pas empecher l'inscriptions les gens qui refusent d'accepter leur conditions.
C'est du gros n'importe quoi !!!

Imaginons que vous aillez creer un site dont le bussiness model est la revente des donnees de ses membres. Il est normal que si un utilisateur souhaite utiliser le service, accepte par la meme occasion que ses donnees soient revendu.

A l'heure actuelle, il est de mauvaise fois de dire que l'on ne sait pas que Google, Facebook, Twitter utilisent et revendent leurs donnees personnelles de ses utilisateurs.
Leur bussiness model est ainsi fait ! Pourquoi les europeens cherchent ils a les em...der ?
Personne n'oblige les gens a utiliser Google Search, il y a Qwant par exemple.

Au lieu de faire cette loi a la c..n, ils devraient investir dans la publicite pour informer les gens. Une pub du genre "ATTENTION FACEBOOK, GOOGLE, ETC.. COLLECTENT VOS DONNEES POUR LES REVENDRE DONC NE LES UTILISER PAS"

Je crois vraiment qu'on est en face a de la mauvaise fois des europeens qui ne cherchent soient qu'a raller (car ils n'ont aucun autre but dans la vie les pauvres), soient a essayer d'avoir leur part du gateau sur les CA que tirent les geants.

[benjani13]

Je crois vraiment qu'on est en face a de la mauvaise fois des europeens qui ne cherchent soient qu'a raller (car ils n'ont aucun autre but dans la vie les pauvres), soient a essayer d'avoir leur part du gateau sur les CA que tirent les geants.

Oui, on aimerait avoir notre part du gâteau, ça s'appelle les impôts. Et ça serait bien qu'ils les paient.

[Invité]

Il existe un autre souci : les Fake-Hoax arrivant sur le mur de personnes ciblées. Je ne sais pas si c'est imputable au scandale Cambridge Analytica mais j'ai noté une recrudescence lors de la période électorale en France de fakes qui arrivent comme fil de discussion ( je ne sais pas du tout comment fonctionne Facebook ) et disparaissent au bout de quelques heures.

Exemple : "le gouvernement veut que chaque foyer français accueille un migrant" sur le FB d'une personne hésitant à voter FN. Et, au bout de quelques heures, le post disparaît.

Donc je pense que le RGPD est aussi là pour répondre à la problématique de l'utilisation faite des données. Par qui, comment et pourquoi.

[Jon Shannow]

Jon, on ne peut pas laisser les entreprises faire tout et n’importe quoi en se disant que les consommateurs feront le tri.

Je suis d'accord. Mais, on ne peut pas non plus demander aux entreprises d'accepter de ne plus faire de bénéfices parce que leurs utilisateurs n'ont pas envie de payer. Va chez un boucher, prend un rôti et 2 steacks, et part sans payer en expliquant que "non, j'aime pas leur politique publicitaire sur le trottoir" !

Pas forcément, Facebook collecte aussi les données des "non-users". Si tu vas sur une page qui contient un bouton j'aime, que tu sois connecté ou pas, utilisateur de facebook ou pas, facebook crée une empreinte numérique de ta connexion (ip, FAI, user-agent, adresse MAC, etc ...) et va gentiment ranger ta visite avec les autres.

Déjà, cliquer sur une bouton "J'aime" de Facebook alors qu'on est pas utilisateur Facebook, faut être c..

Donc tu es fiché même sans être un utilisateur ni sans avoir accepté quoi que ce soit.

Tu es fiché à partir du moment où tu vas sur internet. Ne pas en être conscient, c'est juste être idiot.

Pour ce qui est des utilisateurs consentants je suis plutôt d'accord avec toi, mais il faut reconnaitre que le problème de position dominante complexifie la question (aller sur un autre réseau social ok mais pour réseauter avec qui si tous mes contacts sont sur FB ?).

Personnellement, j'ai du mal à voir l'intérêt de "réseauter".