Depuis l’entrée en vigueur de la nouvelle législation européenne en matière de protection des données personnelles, les plaintes contre les Gafam s’accumulent.
Vous souvenez-vous du flot d’e-mails qui a inondé vos messageries il y a quelques semaines? «La protection des données personnelles est un enjeu important», nous assurait chaque expéditeur avant de nous inviter à consulter sa «nouvelle politique de confidentialité» comme un homme politique clamant qu’il «a changé». Pourtant, ces changements n’ont rien à voir avec leur bonne volonté mais avec le Règlement européen sur la protection des données (RGPD), effectif depuis le 25 mai dernier.
Voté en 2016, ce texte contraint entreprises, associations et organismes publics à obtenir le consentement explicite des internautes avant de réclamer leurs données personnelles… en théorie. Mais certains semblent ne pas s’y résigner. Comme les Gafam (Google, Amazon, Facebook, Apple et Microsoft), tout aussi accro à nos données que nous à leurs services.
Le webdesign au service du capitalisme
Les géants du web utilisent des «pièges» pour berner les utilisateurs et utilisatrices et les amener à livrer le maximum de données les concernant. Ces «dark patterns» –terme inventé par le webdesigner anglais Harry Brignull en 2010– sont des astuces pensées dans l’interface d’un site internet pour «capturer l’utilisateur et faire en sorte qu’il y reste», définit le webdesigner français Geoffrey Dorne. Parmi les catégories de dark patterns identifiées par Harry Brignull, on trouve le «Privacy Zuckering», ou «Zuckerage de la vie privée»: «Lorsque vous êtes poussé à partager toujours plus d’informations sur vous-même que vous ne l’aviez prévu». Si typique sur Facebook que Harry Brignull lui a donné un sobriquet qui rappelle le créateur du réseau social numéro un.
Heureusement, les choses ont changé depuis l’arrivée du RGPD. Les premiers à se targuer de respecter la nouvelle législation étaient les Gafam. Vraiment? Ce ne sont pas les conclusions du rapport «Deceived by design», réalisé entre avril et juin 2018 par le réactif Conseil norvégien des consommateurs sur les pratiques de Facebook, Google et Windows 10.
Gafam et données personnelles: incitation ou manipulation?
«Nous voulions regarder le processus du consentement, commence Finn Myrstad, directeur des services numériques de l’organisation. Les trois services utilisent des techniques pour encadrer l’information.» C’est-à-dire des astuces peu éthiques. Le Conseil reproche aux trois services de diriger l’utilisateur de manière insidieuse là où ils veulent l’emmener. Par exemple, Google culpabilise la personne qui refuserait d’activer la géolocalisation arguant que ce service permet de lui proposer des suggestions plus appropriées, donc plus ciblées. En général, il n’en faut pas plus pour se plier à la volonté du géant.
Pire, le Conseil norvégien des consommateurs dénonce des mensonges par omission sur la publicité ciblée. Facebook présente ainsi la reconnaissance faciale comme un outil «qui aide les malvoyants et protège des utilisateurs malveillants» sans ajouter qu’elle lui sert à cibler encore plus les publicités affichées.
«Le jour où je me fais pirater la reconnaissance de mon visage ou mon empreinte digitale, je ne pourrai pas la changer»
Geoffrey Dorne va d’ailleurs plus loin: pour lui, toutes ces technologies de reconnaissance –faciale ou digitale– relèvent de la vie privée et ne devraient pas servir à s’authentifier: «Si je me fais pirater un mot de passe, je le change, j’en invente ou j’en génère un nouveau. Par contre, le jour où je me fais pirater la reconnaissance de mon visage ou mon empreinte digitale, je ne pourrai pas la changer».
Selon le rapport, Windows 10 semble plus respectueux du consentement des utilisateurs et utilisatrices que les deux autres firmes. Néanmoins, Microsoft fait bien sentir, par les mots utilisés, que la publicité ciblée est une chose positive et que s’en passer serait dommage car «le nombre de pubs que vous verrez ne changera pas, mais celles-ci pourraient être moins pertinentes pour vous». Un tel langage vous décourage? Normal, c’est le but.
Conclusions du rapport «Design by deceived». | Réalisation tableau: Kevin Poireault
Ces exemples, et bien d’autres encore, vont à l’encontre de l’obligation de consentement libre et explicite caractérisé par le RGPD. Pire, pour ceux et celles qui ne veulent pas accepter de se livrer un peu, Facebook propose une seule option: supprimer son compte. Cette alternative extrême est interdite si l’on en croit le RGPD.
«Nous espérons que les Gafam changeront leurs méthodes manipulatrices, pas du tout éthiques», souffle Finn Myrstad. Le Conseil norvégien des consommateurs travaille avec d’autres organisations, comme l’UFC-Que choisir en France, pour faire pression et hisser ces mauvaises pratiques à l’agenda politique. Quant à savoir si elles sont illégales et répréhensibles, Finn Myrstad s’en remet aux organismes de régulation: «Nous avons envoyé des lettres aux autorités compétentes».
À LIRE AUSSI Rien n’arrête les Gafa (pour l’instant)
«C’est un problème de modèle économique»
En France, la Commission nationale de l’informatique et des libertés (Cnil) a partagé la lettre «avec les autres autorités européennes» mais admet qu’il «n’y a pas de réponse apportée pour le moment». Finn Myrstad nous a également transmis la réponse de Google et de Facebook, qui lui proposent d’en discuter au retour de vacances. Une réunion en vidéoconférence entre le Conseil norvégien et les multinationales est prévue pour début septembre.
«C’est jouer à leur jeu que de tirer de telles conclusions, rétorque Arthur Messaud, juriste à la Quadrature du Net, association luttant pour la protection des données. Le problème n’est pas dans le design ou le langage utilisé. C’est un problème de modèle économique. Ces acteurs pensent qu’on peut acheter des libertés fondamentales. En utilisant leurs services, le consentement ne sera jamais valide.»
Geoffrey Dorne acquiesce: «Le modèle économique des sites internet est encore majoritairement basé sur la publicité ciblée. Ils ont donc besoin de beaucoup d’audience pour gagner de l’argent». D’où le besoin de capturer l’utilisateur ou utilisatrice. Coûte que coûte.
Plus de 1.000 plaintes en un mois
Arthur Messaud, lui, veut se battre sur le terrain de la loi. Les plaintes en tout genre auprès de la Cnil ont bondi: l’organisme a reçu 1.046 réclamations entre le 25 mai et le 30 juin, contre une moyenne mensuelle d’à peine 700 en 2017. Une augmentation de 43%.
Réalisation infographie: Kevin Poireault
Trois jours seulement après l’arrivée du RGPD, la Quadrature du Net a envoyé à la Cnil cinq plaintes collectives contre Google, Amazon, Facebook, Apple et LinkedIn. «Ces entreprises pouvaient déjà être poursuivies, souligne le juriste. Mais nous avons attendu le RGPD pour faire en sorte que les débats soient très concrets, avec une vraie base légale. Nous avions aussi besoin du texte pour mener des plaintes collectives.» Cet arsenal juridique a en effet été créé par la nouvelle législation européenne. L’association française est soutenue par 12.000 internautes dans ces actions en justice déposées auprès de la Cnil, qui a promis un retour d’ici un mois –que la Quadrature attend toujours.
Si ces plaintes sont recevables, la Cnil les confiera aux autorités des pays européens dans lesquels les Gafam sont installés: la Data Protection Commission en Irlande pour Google, Facebook et Apple et la Commission nationale luxembourgeoise pour la protection de données pour Amazon. Le siège de Microsoft Europe, lui, est basé en France. L’organisme concerné mènera alors son enquête. Une fois fixé, le chef européen des Cnil, le Comité européen de la protection des données, prendra une décision, avec un vote à la majorité s’il y a un désaccord. «Nous sommes les tout premiers à leur envoyer des plaintes collectives, précise Arthur Messaud. Avec nous, ils essuient les plâtres.»
Réalisation infographie: Kevin Poireault
Après le greenwashing, le privacy-washing
Contactée par téléphone, l’entreprise Amazon France assure qu’elle a toujours respecté la loi et qu’elle est conforme au RGPD. Microsoft et Google nous ont promis une réponse, pour l’instant sans résultat. Facebook et Apple n’ont pas encore répondu malgré de multiples relances.
Sans attendre un processus qui peut «prendre entre un et deux ans» selon Arthur Messaud, la Quadrature compte envoyer quatre autres plaintes collectives à la Cnil. Cette fois-ci, les services visés sont Whatsapp, Instagram, Android, et deux services de Microsoft, Outlook et Skype.
«Comme il y a du greenwashing, on a aujourd’hui du privacy-washing, où le respect de la vie privée devient un argument commercial, analyse Geoffrey Dorne. Ce n’est pas toujours vrai, c’est même parfois malhonnête.»
Récemment, Google a écopé d’une amende de 4,3 milliards d’euros par l’Europe pour abus de position dominante. Or, la firme de Mountain View serait susceptible de payer une somme similaire avec la plainte de la Quadrature, affirme l’association. Un autre activiste du net, l’Autrichien Maximilian Schrems, évalue à 7,6 milliards d’euros l’ensemble des sanctions si ses quatre plaintes (contre Android, Instagram, Whatsapp et Facebook) sont jugées en sa faveur. En attendant, la prochaine fois qu’on vous assure respecter vos données, veillez bien à vérifier les cases précochées avant d’y croire.
Kevin Poireault 