Romain Robert (noyb) "Après Google Analytics, noyb va déposer plainte à grande échelle contre des applications mobiles"
Pour le directeur de programme de noyb (none of your business), qui participe au Forum de l'Alliance Digitale à Paris, les applications qui collectent les données des utilisateurs à leur insu sont monnaie courante.
JDN. Noyb a à son actif plus de 1 000 plaintes déposées auprès des autorités de contrôle européennes pour non-respect de la vie privée des citoyens en ligne. Quelles sont vos priorités aujourd'hui ?
Romain Robert. Nous travaillons sur l'élaboration de plaintes visant les applications mobiles qui collectent les données des utilisateurs à leur insu, via leur SDK, soit pour manque d'information aux utilisateurs, soit pour violation de leur consentement. Il y a énormément de soucis. Prenons l'exemple de la plainte que nous avons déposée en 2020 contre Grindr, dont le SDK servait à partager les données des utilisateurs avec l'adtech. L'autorité norvégienne de protection de données leur a infligé une amende de 6,3 millions d'euros pour partage illégal de données. Grindr a depuis fait appel. Les plaintes que nous comptons déposer l'année prochaine visent le même problème mais à très grande échelle. Il s'agira sans doute de l'initiative ayant le plus d'impact dans l'histoire de noyb. Les cookies, à côté de ce qui se passe sur votre téléphone, ce n'est rien : il y a beaucoup plus d'informations qui circulent dans ces SDK et leur mode de fonctionnement est beaucoup plus secret.
Vous avez déposé en juillet 2021 une plainte contre Google auprès de la Cnil pour la création d'ID publicitaires sur mobile sans autorisation. Qu'attendez-vous de cette plainte ?
Le fait que des identifiants publicitaires soient présents dans les smartphones, c'est l'aveu de l'industrie que les mobiles servent à nous traquer à des fins publicitaires. Nous aimerions comprendre pourquoi les utilisateurs devraient accepter la présence d'un tel identifiant unique dans un smartphone dont la vocation est de téléphoner et d'aller sur le web. Nous avons déposé également une plainte similaire contre l'identifiant publicitaire d'Apple en Espagne.
Cela fait quatre ans que vous attendez une décision concernant trois plaintes que vous avez déposées - contre Instagram en Belgique, WhatsApp en Allemagne et Facebook en Autriche - pour consentement forcé. Une décision serait imminente d'après vous…
Tout à fait, ce sont nos trois plaintes historiques avec celle déposée contre Google auprès de la Cnil et qui a valu à ce dernier une amende de 50 millions d'euros pour consentement forcé. C'est un sujet de la plus grande importance : du jour au lendemain, Facebook a indiqué ne plus se baser sur le consentement libre et éclairé de ses utilisateurs pour traiter les données personnelles, mais uniquement sur le contrat. Vu la divergence de vues entre l'autorité irlandaises d'une part et ses homologues européens d'autre part, le Comité européen de la protection des données (EDPB) va enfin trancher cette question : les conditions générales d'un réseau social peuvent-elles être une base juridique valable pour permettre l'exploitation de données à des fins commerciales ? En d'autres termes : devons-nous accepter, sur le continent européen, que nos données soient une monnaie pour accéder à ces plateformes ? L'EDPB répondra sans doute à cette question par la négative, vu ses positions préalables. La décision de l'EDPB est imminente, elle est annoncée pour début décembre. C'est personnellement la décision que j'attends le plus au vu de ses conséquences économiques, juridiques voire philosophiques.
"La Cnil nous confirme que Vanity Fair déposait des cookies avant le consentement des utilisateurs"
Vous déclarez avoir déposé des plaintes contre Webedia/Allociné/Appnexus ; Condé Nast/Vanity Fair/Pubmatic et Cdiscount/Facebook en décembre 2019 parce que selon vous ces sites transformaient le rejet des cookies en des consentements. Où en êtes-vous ?
Nous avons reçu ce lundi 28 un courrier de la Cnil concernant Vanity Fair, où la Cnil confirme que des cookies étaient déposés avant le consentement des utilisateurs, ce qui constitue un manquement à la loi. Nous attendons toujours les conclusions de la Cnil dans les autres affaires et nous espérons un message aussi clair du régulateur que dans le cas de Vanity Fair à l'égard de ces violations qui ont consisté pour ces sites à envoyer à l'industrie publicitaire des données personnelles d'internautes malgré l'absence de leur consentement.
noyb est à l'origine de la plainte qui a rendu l'usage de Google Analytics illégal en Europe à cause du risque de transfert de données personnelles des citoyens européens. Cette plainte, déposée en août 2020 contre 101 entreprises européennes, concernait également Facebook Connect. Où en êtes-vous ?
Alors que plusieurs autorités - Autriche, France, Hongrie, Espagne, Italie, etc. - ont émis la même décision de considérer illégal l'usage de Google Analytics, nous attendons toujours une décision pour Facebook Connect.
"Il est probable que le nouveau cadre du transfert des données, malgré les efforts du côté américain, soit encore insuffisant"
Comptez-vous toujours contester le décret signé par Joe Biden début octobre visant à mettre place un nouveau cadre pour ces transferts ?
La Commission européenne va sans doute adopter une décision d'adéquation afin de rétablir les transferts de données entre l'Europe et les Etats-Unis en se basant sur le décret présidentiel récemment signé par Joe Biden. Ce décret établit une cour spécifique pour les Européens afin que ces derniers puissent vérifier si leurs données sont traitées de manière légale aux Etats-Unis. Le décret essaye également de restreindre la surveillance de masse à une surveillance dite proportionnée. Ce sont précisément les deux problèmes qui avaient été soulevés par la Cour de justice de l'Union européenne (CJUE) dans ces décisions d'invalider les accords qui existaient entre les deux régions (Safe Harbor et Privacy Shield, invalidés par la CJUE respectivement en 2015 et 2020, ndlr.). Il est probable que le nouveau cadre, malgré les efforts du côté américain, soit encore insuffisant, et ne réponde toujours pas aux exigences de la CJUE. Si tel est le cas, noyb portera encore cette affaire devant la Cour de justice, mais cette fois sans doute en passant par les tribunaux et non plus devant les autorités de régulation.
Comptez-vous aller plus loin et vous attaquer à d'autres adtech américaines ?
noyb ne se focalise pas uniquement sur les sociétés de l'adtech et les compagnies américaines : nous portons également des actions contre des sociétés européennes et sur d'autres domaines d'activité. On remarque que les autorités de régulation suivent parfois de près le secteur technologique. L'EDPB a décidé de mettre en œuvre une initiative stratégique d'évaluation du secteur des services de cloud. Les services publics devront analyser où passent les données lorsqu'ils utilisent les services d'Amazon ou de Microsoft. Les autorités de protection de données prennent des décisions ici et là pour empêcher que les services publics utilisent des outils américains contraires au RGPD, comme cela a été le cas au Danemark ou au Portugal. Le débat juridique et surtout judiciaire autour de la question des transferts se débloque petit à petit, même si c'est très long.
Vos deux plaintes "large échelle" (mai 2021 et cet été) auprès d'une vingtaine d'autorités de contrôle européennes contre plus de 600 sites pour leur affichage non conforme des bannières de consentement des cookies portent-elles des fruits ? Combien d'entreprises sont concernées en France ?
Oui cette action est fort effective selon nous. Je pense qu'on a pu tous constater les changements concernant la manière dont notre consentement en matière de cookies était recueilli. Sur l'ensemble de ces plaintes, 38 concernent la France et deux ont été classées parce que les sites concernés ont modifié leurs bannières de façon à se rendre conformes. Nous souhaitons faire changer les pratiques des sites et ces plaintes à large échelle ont un vrai impact. Ce qui est long, ce sont les décisions des autorités de contrôle.
Vous dites qu'entre le texte du RGPD et la réalité il y a un fossé, que les droits des citoyens européens ne sont pas respectés et que les autorités de contrôle ne vont pas assez vite. Pouvez-vous nous en citer un cas emblématique de cette lenteur ?
On peut par exemple se référer à la plainte que nous avons déposée le 25 mai 2018, jour d'entrée en vigueur du RGPD, auprès de la Cnil contre Google pour consentement forcé justement. C'était notre toute première plainte. La Cnil a imposé à Google une amende de 50 millions d'euros en janvier 2021, juste avant le "déménagement" de Google en Irlande. Elle a renvoyé le dossier à l'autorité irlandaise pour les points de la plainte non encore tranchés. Depuis, les autorités de contrôle française et irlandaise se renvoient la balle, contestant leur compétence pour traiter l'affaire. On nous dit que l'application effective du RGPD fonctionne en Europe. Mais en constatant qu'après plus de quatre ans d'entrée en vigueur du RGPD, on ne sait toujours pas qui est l'autorité compétente pour réguler l'une des plus grosses compagnies technologiques, on peut se poser des questions.