Actualités

Android Advertising IDentifier : le manque de consentement au cœur d’une plainte déposée à l’encontre de Google !

Max Schrems (Noyb) a encore frappé : une nouvelle fois, son équipe épingle Google en terme de respect de la vie privée de l’utilisateur sous Android ; en cause directe : l’AAID, un identifiant unique attribué par terminal mobile sous le système mobile de l’entreprise.

 

 

Dans les faits – juridiques – le dépôt de plainte, qui englobe Google (y compris la France et l’Irlande) pointe du doigt l’Android Advertising IDentifier : qualifiée de “plaque d’immatriculation“, il permet de pointer un profil-utilisateur sous Android pour mieux, entre-autres, pouvoir distribuer des publicités ciblées ou promotions, achats assimilés, en terme de suggestion. Un aspect qui rentre, aujourd’hui, en contradiction avec la e-Privacy (directive 2002/58/CE du 12 Juillet 2002) et la Loi informatique et libertés (n° 78-17 du 6 janvier 1978) pour les motifs suivants :

 

(Source : Aurel – Le Monde, édition du 5 Septembre 2019)

 

  • e-Privacy, considérant numéro 24 : “l’équipement terminal de l’utilisateur d’un réseau de communications électroniques ainsi que toute information stockée sur cet équipement relèvent de la vie privée de l’utilisateur, qui doit être protégée au titre de la convention européenne de sauvegarde des droits de l’homme et des libertés fondamentales. Or, les logiciels espions, les pixels invisibles (web bugs), les identificateurs cachés et les autres dispositifs analogues peuvent pénétrer dans le terminal de l’utilisateur à son insu afin de pouvoir accéder à des informations, stocker des informations cachées ou suivre les activités de l’utilisateur, et peuvent porter gravement atteinte à la vie privée de ce dernier. L’utilisation de tels dispositifs ne devrait être autorisée qu’à des fins légitimes, et en étant portée à la connaissance de l’utilisateur concerné” ;
  • e-Privacy, article 5, paragraphe 3 : “les États membres garantissent que l’utilisation des réseaux de communications électroniques en vue de stocker des informations ou d’accéder à des informations stockées dans l’équipement terminal d’un abonné ou d’un utilisateur ne soit permise qu’à condition que l’abonné ou l’utilisateur, soit muni,dans le respect de la directive 95/46/CE, d’une information claire et complète, entre autres sur les finalités du traitement, et que l’abonné ou l’utilisateur ait le droit de refuser un tel traite-ment par le responsable du traitement des données. Cette disposition ne fait pas obstacle à un stockage ou à un accès techniques visant exclusivement à effectuer ou à faciliter la transmission d’une communication par la voie d’un réseau de communications électroniques, ou strictement nécessaires à la fourniture d’un service de la société de l’information expressément demandé par l’abonné ou l’utilisateur” ;
  • Loi informatique et libertés, article 82 : “tout abonné ou utilisateur d’un service de communications électroniques doit être informé de manière claire et complète, sauf s’il l’a été au préalable, par le responsable du traitement ou son représentant : 1° De la finalité de toute action tendant à accéder, par voie de transmission électronique, à des informations déjà stockées dans son équipement terminal de communications électroniques, ou à inscrire des informations dans cet équipement ; 2° Des moyens dont il dispose pour s’y opposer. Ces accès ou inscriptions ne peuvent avoir lieu qu’à condition que l’abonné ou la personne utilisatrice ait exprimé, après avoir reçu cette information, son consentement qui peut résulter de paramètres appropriés de son dispositif de connexion ou de tout autre dispositif placé sous son contrôle. Ces dispositions ne sont pas applicables si l’accès aux informations stockées dans l’équipement terminal de l’utilisateur ou l’inscription d’informations dans l’équipement terminal de l’utilisateur : 1° Soit, a pour finalité exclusive de permettre ou faciliter la communication par voie électronique ; 2° Soit, est strictement nécessaire à la fourniture d’un service de communication en ligne à la demande expresse de l’utilisateur“.

 

Dans le cadre du dépôt de plainte, la CNIL, selon l’article 3 de la Loi informatique et libertés, a été jugée compétente pour évaluer l’affaire au niveau francophone sur les points suivants :

 

  • Le pointage ciblé ou spécifique d’un terminal mobile pour un AAID donné,
  • Le service publicitaire Google Ads (France, ici) en découlant : la redirection est “clairement dirigée“,
  • L’optimisation du service Google Ads via une “fonction distinctive” sous la forme d’une API dédiée.

 

Concernant le dernier point, l’équipe Noyb a pu remonter depuis le site Web Google Ads API pour mettre en lumière, assez facilement, un système de “mise en correspondance des clients” depuis ce type d’identifiant unique. A ce niveau, une décision a déjà fait, en Décembre 2020, jurisprudence : suite aux délibérations (SAN-2020-012) du 7 Décembre 2020, la CNIL avait épinglé Google à hauteur de 100 M d’euros pour manquement au consentement préalable. Bien que le stockage et / ou l’accès à ce fameux identifiant soit mis en cause en terme de manquement de consentement éclairé pour ce qui en découle derrière (bien que la politique de confidentialité de Google indique clairement, sans choix aucun pour l’utilisateur en terme de contournement, un ciblage publicitaire ou marketing sous Android), le RGPD ne pourra être utilisé en temps que support européen supplémentaire : un paradoxe illustré par l’article 95 qui “n’impose pas d’obligations supplémentaires aux personnes physiques ou morales quant au traitement dans le cadre de la fourniture de services de communications électroniques accessibles au public sur les réseaux publics de communications dans l’Union en ce qui concerne les aspects pour lesquels elles sont soumises à des obligations spécifiques ayant le même objectif énoncées dans la directive 2002/58/CE“. Un avis similaire donné par le Conseil d’État, le 4 Mars 2021 qui confirmait que les articles 5 et 82 de la Loi Informatique et libertés ne pouvaient être imbriqués au sein du chapitre VII (Coopération et Cohérence)… Il restera, donc, la CNIL pour trancher.

“Google installe non seulement l’AAID sans consentement, mais il refuse également à l’utilisateur Android la possibilité de le supprimer. Comme nous l’avons prouvé dans notre précédente plainte déposée en Autriche, les utilisateurs peuvent simplement «réinitialiser» l’ID et sont obligés de générer un nouvel ID de suivi pour remplacer l’ID existant. Cela ne supprime pas les données qui ont été collectées auparavant, ni n’interrompt le suivi à l’avenir“, explique le groupe Noyb, dans un communiqué du 6 Avril 2021 qui, à terme, espère supprimer l’ensemble de ces identifiants sur les systèmes mobiles Google… A suivre !

 

 

Source : Noyb – 6 Avril 2021 – Dépôt de plainte contre Google, Google Irlande et Google France : gestion de l’affaire par la CNIL pour l’hexagone.




  • 50% J'apprécieVS
    50% Je n'apprécie pas
    Pas de commentaire

    Laisser un commentaire

    ;) :zzz: :youpi: :yes: :xmas: :wink: :whistle: :warning: :twisted: :sw: :sleep: :sg1: :schwarzy: :sarko: :sante: :rollol: :roll: :rip: :pt1cable: :popcorn: :pff: :patapai: :paf: :p :ouch: :oops: :o :non: :na: :mrgreen: :mdr: :macron: :love: :lol: :kissou: :kaola: :jesuisdehors: :jap: :ilovesos: :idea: :houra: :hello: :heink: :grumpy: :fume: :frenchy: :fouet: :fouet2: :first: :fessee: :evil: :dispute: :demon: :cryy: :cry: :cpignon: :cool: :cassepc: :capello: :calin: :bug: :boxe: :bounce: :bluesbro: :bisou: :babyyoda: :assassin: :arrow: :annif: :ange: :amen: :D :??: :?: :/ :-| :-x :-o :-P :-D :-? :-1: :+1: :) :( 8-O 8)

    Ce site utilise Akismet pour réduire les indésirables. En savoir plus sur comment les données de vos commentaires sont utilisées.

    Copyright © Association SOSOrdi.net 1998-2021 - v1.7.2