Même s’ils ont voulu montrer patte blanche vis-à-vis du nouveau règlement européen sur la protection des données personnelles, les géants de la Silicon Valley en exploitent encore les failles juridiques.
“[Les entreprises du numérique] ne veulent pas respecter la loi. Si on refuse de livrer ses données personnelles, on ne peut pas accéder à Google, Facebook, Twitter, etc. C’est totalement illégal”.
Faire des données personnelles de ses citoyens un trésor à nouveau bien gardé, c’était l’ambition de l’Union européenne, entrée en croisade contre les grandes plate-formes numériques américaines. Son arme : le règlement sur la protection des données personnelles (RGPD), appliqué depuis mai 2018. Six mois après, des organismes accusent encore les Gafam (Google, Amazon, Facebook, Apple, Microsoft) d’exploitation illégale des données personnelles.
C’est notamment le cas de la Quadrature du Net, une association française de défense des droits et libertés des citoyens sur Internet, qui a déposé en mai une plainte collective auprès de la Commission nationale de l’informatique et des libertés (CNIL). Cette dernière ne s’est pas encore prononcée. Mais, grâce aux imprécisions du texte juridique, les géants de la Silicon Valley ont effectivement trouvé des marges de manœuvre.
Une brèche ouverte par la notion d’ “intérêt légitime”
“Les Gafam s’adaptent, ils ont revu leurs conditions générales d’utilisation et leur politique de confidentialité”, affirme Jérôme Deroulez, magistrat qui travaillait à Bruxelles au début des négociations sur le RGPD. Une nouvelle demande de consentement a été soumise à chaque usager dans un flot d’e-mails et de pop-ups, avec la possibilité de refuser plusieurs options (reconnaissance faciale, publicité ciblée…). “Dire qu’ils sont dans l’illégalité est un peu rapide, ajoute-il. Le marché européen des données est bien trop important pour vouloir défier la loi.” Il s’élèverait à près de 60 milliards d’euros selon le cabinet d’études privé International Data Corporation. Outre les conséquences économiques, “cela poserait aussi un problème de réputation”.
Dès l’inscription sur ces plate-formes, un minimum de données sur l’identité de l’utilisateur est requis (nom, prénom, âge, adresse e-mail, lieu de résidence, l’adresse IP de l’ordinateur…). “Sans ces informations, il est impossible d’accéder à leurs services, confirme le juriste. Mais ce n’est pas une question de légalité ou d’illégalité : si vous ne souhaitez pas transmettre des informations personnelles à Twitter, Google ou LinkedIn, il suffit de ne pas vous y enregistrer !” Il est impossible pour ces entreprises de se passer des données personnelles, à la base de leur modèle d’affaires.
C’est ce modèle d’entreprise, fondé sur la publicité ciblée, qui permet justement aux Gafam de contourner le RGPD. Une brèche ouverte par la notion d’ « intérêt légitime” introduit plus de souplesse dans le texte. Ce concept permet à une entité de collecter et utiliser des données si elle y trouve un intérêt, par exemple économique, et que la poursuite de cet intérêt ne porte pas atteinte à celui des personnes concernées.
Facebook active par défaut de nombreux services, comme la personnalisation du fil d’actualité
“Il existe cependant des autorités de régulation, comme le G29, le groupe des “Cnil européennes”, prévient Jérôme Deroulez. Il rappelle d’ailleurs que “cette notion existait avant le RGPD et, à l’époque, elle ne gênait pas autant. C’était même l’option à privilégier avant celle du consentement.”
Un manquement au principe de confidentialité par défaut
Ce n’est pas la seule interprétation des Gafam vis-à-vis du texte. Certaines de leurs pratiques demeurent peu conformes au principe de “confidentialité par défaut” au cœur du RGPD. Le règlement précise en effet que l’entreprise doit assurer aux utilisateurs le plus haut niveau de confidentialité dès l’inscription. Or Facebook active par défaut de nombreux services, comme la personnalisation du fil d’actualité, la publicité ciblée ou la reconnaissance faciale. C’est la politique de l’ « opt-out« .
Autre problème : le design des procédures de recueil du consentement. Si un seul clic suffit pour accepter les paramètres par défaut, pour les modifier il est nécessaire d’y consacrer bien plus de temps. C’est encore plus vrai sur mobile. Ces abus ont notamment été relevés dans deux rapports, l’un publié en juin par le Conseil norvégien des consommateurs et un second en novembre par l’ONG Internet Society France. Ils mettent en lumière les stratégies “pièges” qui conduisent les utilisateurs à livrer un maximum de données personnelles. Facebook, par exemple, présente la reconnaissance faciale comme un moyen de repérer les photographies publiées à l’insu de l’usager. Google, quant à lui, argue que la géolocalisation lui soumettra des suggestions plus appropriées.
« Si le consentement est présenté comme une partie non négociable des conditions générales, l’on considère qu’il n’a pas été donné librement »
Hors-la-loi, donc, les Gafam? A rebours de ces pratiques incitant au « consentement prisonnier », le G29 encourageait dans une analyse rendue en 2016 au consentement libre, éclairé et explicite. Il soulignait notamment que « si le consentement est présenté comme une partie non négociable des conditions générales, l’on considère qu’il n’a pas été donné librement ». Mais tant que le groupe des Cnil européennes n’aura pas rendu son jugement sur les plaintes, les géants du numérique pourront continuer à s’appuyer sur le RGPD pour justifier leurs pratiques.
H. Linossier, R. Lizée, A. Gasqueres, N. Sonalier, M. Andriambelo, S. Barry
A lire aussi : notre podcast « Derrière les faits » pour comprendre comment nous avons procédé dans cette enquête