Par Thomas Lajudie et Gaspard de Laubier
Une nouvelle affaire vient ternir l’image de Google quant à sa politique de protection des données personnelles : une « class action » a été déposée à l’encontre du géant du numérique, mettant en cause son mode « Navigation privée » sur Chrome. En effet, Google est accusé de collecter les données personnelles et de navigation de ses utilisateurs à leur insu, alors même que ces derniers se trouvent en navigation privée.
1. Qu’est-il reproché à Google ?
Une action collective a été déposée mardi 2 juin devant la Cour fédérale de San Jose en Californie à l’encontre de Google. Ce recours collectif concerne potentiellement « des millions » d'utilisateurs du moteur de recherche Chrome, selon le cabinet d'avocats portant le recours.
Sont réclamés pas moins 5 milliards de dollars à Google et à sa maison-mère Alphabet en réparation du préjudice, soit 5000 dollars par utilisateur concerné. Deux catégories d’utilisateur sont distingués : les détenteurs d’un appareil Android (class 1) et les simples visiteurs de sites web utilisant les services Google, comme Google Analytics ou Google Ad Manager, anciennement DoubleClick For Publishers (class 2).
En effet, le mode « Navigation privée » (ou « Incognito » dans sa version anglo-saxonne) promet aux utilisateurs de naviguer sur le web sans être « tracés » et sans que l’historique de navigation ne soit enregistré par Google. Dans la présentation de son service, Google précise :
« Lorsque vous utilisez la navigation privée, […] Chrome n'enregistre pas votre historique de navigation ni les informations saisies dans les formulaires. Les cookies et les données de sites sont enregistrés tant que votre session de navigation est active, puis ils sont supprimés lorsque vous quittez le mode navigation privée. »
Ainsi au regard de cette déclaration, les utilisateurs de Google peuvent raisonnablement s’attendre à ce que leurs faits et gestes en navigation privée ne soient pas collectés et utilisés.
Or, la plainte vient affirmer l’inverse : Google tracerait les données de navigation et d’identification (à l’instar de l’adresse IP) des utilisateurs par le biais de Google Analytics (présent sur plus de 70% des sites Internet selon la plainte) , Google Ad Manager, et de divers autres plug-ins, intégrés au sein du code du site Internet. Cette collecte se ferait, dans la grande majorité des cas, à l’insu des utilisateurs et donc sans leur consentement.
Non seulement les utilisateurs ne savent pas que Google collecte leurs données, mais ils n'ont aucun moyen significatif d'éviter cette collecte, comme le souligne la plainte, et ce même s'ils suivent les instructions du moteur de recherche pour « naviguer sur le web en privé ». En effet, les sites ayant implanté des services tels que Google Analytics ou Google Ad Manager, continueront de collecter les données et de les transmettre à Google.
Par ailleurs, concernant les utilisateurs du système d’exploitation Android, les plaignants affirment que Google collecte leurs données personnelles de manière à travers une pratique de « collecte passive », et ce même en « Navigation privée ».
Or, en vertu de la règlementation américaine en vigueur, et notamment du Federal Wiretap Act de 1986, l'interception intentionnelle du contenu de toute communication électronique, quel que soit le type d’appareil, est interdite. La plainte se fonde également sur le California Invasion of Privacy Act (CIPA) qui vient prohiber toute collecte de données durant une communication électronique (à l’instar de la navigation web) sans le consentement de l’utilisateur.
Le moteur de recherche nie pour sa part le caractère illégal de cette collecte d’informations et assure être parfaitement transparent avec ses utilisateurs.
2. Un parallèle possible avec la réglementation européenne
Si le mode « Incognito » est remis en question au regard de la réglementation américaine, il peut être intéressant d’analyser les faits au travers du prisme de la réglementation européenne. En effet, collecter les données personnelles de ses utilisateurs en Europe sans les en avoir informés au préalable peut coûter cher.
Pour rappel, les entreprises françaises et européennes doivent se conformer aux obligations prévues dans le Règlement général sur la protection des données (RGPD) en vigueur depuis le 25 mai 2018. Celui-ci vient encadrer la collecte et le traitement des données à caractère personnel, soit toute information se rapportant à une personne physique identifiée ou identifiable (nom, prénom, numéro de téléphone ou encore données de localisation par exemple).
Il s’agit de se poser la question suivante : si les mêmes faits étaient suspectés à l’encontre de Google en France, serait-ce répréhensible au regard du RGPD ?
En vertu de l’article 5 a) du RGPD : « Les données à caractère personnel doivent être traitées de manière licite, loyale et transparente au regard de la personne concernée (licéité, loyauté, transparence) »
Le devoir de loyauté dont le respect est notamment satisfait par l’information des personnes concernées lors de la collecte des données. Conformément à l’article 12 du RGPD, la personne concernée doit être informée sur le traitement « d'une façon concise, transparente, compréhensible et aisément accessible, en des termes clairs et simples ».
En l’espèce, l’ambiguïté entretenue par Google sur le fait que l’utilisateur peut naviguer sans être tracé alors même que Google, par l’intermédiaire des sites Internet visités, collecte une quantité importante de données via divers cookies et plug-ins, pourrait s’analyser en un manquement à son devoir de loyauté.
Enfin, il peut être évoqué la condition de licéité du traitement des données, si le consentement n’est pas donné par l’utilisateur (Voir notre analyse sur les cookies et le consentement).
3. Sanctions
Que risquerait une entreprise si de tels faits étaient démontrés pour des utilisateurs européens ?
Dans le cas d’un manquement à la loyauté et/ou à la licéité d’un traitement, l’article 83 du RGPD prévoit une sanction prenant la forme d’une amende administrative pouvant s’élever jusqu’à 20 000 000€ ou 4% du chiffre d’affaires, à laquelle peut s’ajouter d’éventuels dommages-intérêts pour le préjudice subi par les personnes concernées, voire des poursuites pénales pour collecte de données par des moyens déloyaux (article 226-18 du Code pénal).
Si vous souhaitez en savoir plus sur les sanctions prévues par le RGPD, vous pouvez poursuivre votre lecture avec notre article "RGPD : Focus sur les sanctions".
En attendant, il n’est pas dit encore si Google sera condamné dans cette nouvelle affaire. Cette plainte met toutefois en exergue la nécessité d’une vigilance accrue lors de la mise en place de traceurs sur un site Internet.
***
Le Cabinet HAAS Avocats, fort de son expertise depuis plus de 20 ans en matière de nouvelles technologies, accompagne ses clients dans différents domaines du droit, mais aussi en matière de droit des contrats. Le cabinet HAAS Avocats se tient à votre disposition pour vous assister dans la mise en conformité au RGPD et pour toute question quant à vos traitements de données à caractère personnel. Contactez-nous ici