Google est sous le coup d'une nouvelle plainte pour des manquements dans la gestion des données personnelles. Est visé tout particulièrement l'identifiant unique qui équipe chaque smartphone Android : il serait qui trop bavard sans que l'on ne puisse rien y faire.

Max Schrems frappe encore. L’activiste autrichien, qui s’est fait une spécialité d’épingler les géants de la tech pour toutes sortes de manquements dans le traitement des données personnelles, et dont le grand fait d’armes est d’avoir obtenu l’invalidation du Safe Harbor entre les USA et l’Europe (ce mécanisme organisait le transfert des données des internautes européens vers les USA), vient de s’attaquer à Google.

Ou, plus exactement, il vient d’attaquer la firme de Mountain View encore une fois. En effet, l’Autrichien a déjà un passif avec elle : dès le 25 mai 2018, c’est-à-dire le jour où le Règlement général sur la protection des données (RGPD) a commencé à être appliqué, son association NOYB (None of Your Business) a lancé une action contre Google, mais aussi contre et Facebook et ses filiales WhatsApp et Instagram.

De quoi s’agit-il cette fois ? L’intéressé vient de porter plainte devant la Commission nationale de l’informatique et des libertés (CNIL) à propos des pratiques de l’entreprise américaine concernant la publicité ciblée. Plus précisément, son ONG de défense de la vie privée NOYB dénonce le fait que chaque smartphone Android mis sur le marché arrive avec un identifiant unique destiné à servir de la publicité ciblée sans que les internautes ne puissent s’y opposer.

Un identifiant pour les pister tous

Cet identifiant surnommé AAID (pour Android Advertising Identifier) permet à Google et aux sociétés tierces de pister des personnes d’applications en applications et de sites web en sites web pour établir un profil publicitaire complet. Seul hic, selon le cadre législatif européen une telle opération exige le consentement de chacun et chacune avant d’opérer un tel pistage, consentement que Google ne demande pas, selon Schrems.

Or pour être tout à fait légal, ce suivi nécessite le consentement éclairé et sans équivoque des mobinautes. Et ce n’est pas le Règlement général pour la protection des données (RGPD) qui est brandi, pour une fois, mais une directive du 12 juillet 2002 sur la protection de la vie privée dans le secteur des communications électroniques, dont les dispositions sont reprises dans la loi Informatique et Libertés.

Schrems
Maximilian Schrems est devenu au fil des ans bien plus qu’un poil à gratter pour les géants du web. // Source : NOYB

« Non seulement Google installe l’AAID sans le consentement de l’utilisateur, mais il refuse également aux utilisateurs d’Android la possibilité de le supprimer », avance l’ONG qui compare la situation au fait « d’avoir de la poudre colorée sur les mains et les pieds qui marque chacun de vos pas et chacune de vos actions ».

306 millions de mobiles Android

Si l’affaire vous rappelle quelque chose, c’est tout à fait normal. Apple a récemment restreint l’utilisation de ce même identifiant unique sur son système d’exploitation mobile, avec la version iOS 14, au grand dam de Facebook, afin de se plier à la loi et de préserver la vie privée de sa clientèle. Les publicitaires, notamment français, sont vent debout contre la mesure, mais pour le moment le dispositif est jugé licite.

Mais l’affaire soulevée par NOYB ici est d’une autre ampleur puisque pas moins de 306 millions de téléphones Android circulent dans l’Union européenne, ce qui fait autant de profils à pister. « L’ampleur de cette affaire est déconcertante. La quasi-totalité des utilisateurs d’Android semble être concernée par cette technologie. Nous espérons donc que la CNIL interviendra », ajoute Stefano Rossetti, avocat de NOYB.

Selon le Financial Times, l’ONG serait d’ailleurs allée voir le gendarme hexagonal des données personnelles, car le système légal français serait le mieux adapté pour ce genre de plaintes. Son équivalent irlandais est pointé du doigt comme étant trop lent à réagir, alors même que c’est dans ce pays que se trouvent la plupart des QG européens des géants du net.

Joint par nos soins, l’autorité administrative française n’avait pas de commentaires à donner pour le moment, l’affaire étant toute fraîche.

Partager sur les réseaux sociaux

La suite en vidéo