Privacy Sandbox : Noyb porte plainte contre Google pour non-conformité au RGPD
Noyb (non of your business), association européenne de défense de la vie privée des utilisateurs en ligne, connue pour différents procès menés (et gagnés) contre Google et Meta, porte plainte contre Google auprès de l'autorité autrichienne de protection des données ce jeudi 13 juin. L'association autrichienne considère comme trompeur le message servant à introduire le nouveau système de gestion du suivi des internautes sur Chrome à de fins publicitaires, base de la Privacy Sandbox, censée remplacer les cookies tiers. Affichée une seule fois, la bannière "Turn on an ad privacy feature" (qui en français donne "Activez la fonctionnalité de confidentialité de vos annonces") induit l'internaute à une mauvaise compréhension selon Noyb : ce dernier aura tendance plus facilement à accepter le suivi de son comportement de navigation. Ce faisant, Google ne respecterait pas les exigences du RGPD en matière de consentement au suivi publicitaire en ligne.
"Après des années de critiques croissantes du suivi invasif des publicités, Google a annoncé en septembre 2023 qu'il supprimerait progressivement les cookies tiers de son navigateur Chrome. Depuis lors, les utilisateurs ont été progressivement incités à activer une prétendue fonctionnalité de 'ad privacy' qui permet en réalité de suivre les internautes", argumente l'association. "Bien que la 'Privacy Sandbox' soit présentée comme une amélioration par rapport au suivi extrêmement invasif par des tiers (via notamment les cookies tiers, ndlr), le suivi est désormais simplement effectué au sein du navigateur par Google lui-même. Pour ce faire, l'entreprise a besoin du même consentement éclairé de la part des utilisateurs. Au lieu de cela, Google trompe les utilisateurs en prétendant 'activer une fonction de confidentialité des publicités'", poursuit l'association.
Le JDN est retourné vérifier les paramètres dits de "confidentialité des annonces" de Chrome qu'il est très facile d'activer ou désactiver. Dans le champ "Thèmes des annonces", il est clairement indiqué que "Les thèmes d'intérêt sont basés sur votre historique de navigation récent et sont utilisés par les sites pour vous montrer des annonces personnalisées", une option que l'on peut désactiver à l'aide d'un simple clic. Même chose pour le champ "Les annonces suggérés par les sites", dont Google indique que "les sites que vous consultez peuvent déterminer ce que vous aimez, puis vous montrer des annonces alors que vous continuez de naviguer" à condition que cette option soit activée.
Nous avons ensuite questionné Noyb : ces messages ne sont-ils pas suffisamment clairs ? Selon l'association, le problème en réalité n'est pas là. Noyb s'attaque seulement à la toute première bannière pop-up que Google affiche aux utilisateurs de Chrome au moment de l'introduction de ce nouveau système. Ces dernières ont été observées par l'association en octobre 2023 ; elles sont censées apparaître une seule fois à tout nouvel utilisateur de Chrome, à toute nouvelle installation.
C'est ce message-là qui induit les utilisateurs en erreur selon l'association. "Le fait que Google donne aux utilisateurs la possibilité de désactiver certaines options (voire la Sandbox en totalité) ne le dispense pas de l'obligation de recueillir un consentement éclairé et sans ambiguïté. Or, Google présente cette nouvelle fonctionnalité comme un outil permettant d'améliorer la protection de la vie privée des utilisateurs alors qu'en réalité, il demande aux utilisateurs la permission de les suivre en ligne et de vendre des données à des annonceurs. De nombreux utilisateurs cliqueront simplement sur la fenêtre pop-up sans se rendre compte qu'ils consentent au suivi, induits en erreur par la conception trompeuse de la bannière", explique Noyb au JDN.
Selon Noyb, Google lui a adressé une lettre dans laquelle l'entreprise confirme que le fait de cliquer sur 'Activer' en réponse à cette première bannière est en effet considéré comme un consentement au suivi en vertu de l'article 6, paragraphe 1, point a, du RGPD. "En réalité, l'entreprise dissimule le fait que la sélection de cette option activerait le tracking", résume l'association.
D'après Noyb, Google fait appel à un dark pattern (une astuce servant à manipuler ses utilisateurs) pour maximiser le taux de consentement de ses utilisateurs. Pire, l'association soutient que le géant ment aux internautes. "La seule façon logique d'interpréter la fenêtre pop-up de la 'Privacy Sandbox' présentée aux utilisateurs est de penser que Google Chrome commence maintenant à les protéger (techniquement) contre le suivi des publicités. Ce message a même été renforcé par l'utilisation répétée de mots tels que 'protéger', 'limiter' et 'fonctionnalités de confidentialité', accompagnés d'images trompeuses", indique l'association. "Google a tout simplement menti à ses utilisateurs. Pour être légal, le consentement doit être éclairé, transparent et équitable. Google a fait exactement le contraire", déclare Max Schems, président honoraire de Noyb.
L'association a déposé sa plainte auprès de l'autorité autrichienne de protection de données en se basant sur l'article 4(11) du RGPD selon lequel le consentement doit être "une manifestation de volonté, libre, spécifique, éclairée et univoque" de la personne concernée. L'association demande à l'autorité autrichienne d'ordonner à Google de mettre ses opérations de traitement en conformité avec le RGPD, de cesser le traitement des données collectées sur la base d'un consentement non valide et d'informer les destinataires de ces données (in fine les éditeurs et les annonceurs) qu'ils doivent cesser de les traiter. Enfin, Noyb propose que l'autorité impose à Google "une amende effective, proportionnée et dissuasive".