Confidentialité des données : Google versera 392 M$ à 40 Etats américains

391,5 millions de dollars pour régler une vaste affaire d’atteinte à la vie privée. C’est le montant que Google va débourser auprès de 40 Etats américains pour mettre fin à une « enquête multi-États sur des allégations selon lesquelles la plateforme de moteur de recherche en ligne aurait violé la vie privée des consommateurs en les induisant en erreur sur ses pratiques de collecte de données de localisation ». Les mots sont forts et le règlement historique. Dans son communiqué, le procureur général, Matthew J. Platkin, de l’Etat du New Jersey explique qu’il s’agit du « plus grand règlement de confidentialité multi-États avec les procureurs généraux des États-Unis dans l'histoire des États-Unis ». Le New Jersey recevra pour sa part environ 17,79 millions de dollars du règlement.

Les données de localisation sont devenues un élément clé de l'activité de publicité en ligne de Google, qui utilise les données pour créer des profils d'utilisateurs détaillés pour des publicités ciblées au nom de ses clients. Toutefois, ces données de localisation font partie des informations les plus sensibles que Google collecte. Les positions et mouvements des consommateurs sont ainsi suivis par la firme à travers leur terminal, y compris les signaux GPS, antenne cellulaire, WiFi et Bluetooth. De quoi révéler l'identité et les routines d'une personne facilement et en déduire par la suite certains détails personnels. Une aubaine pour les marchés de la publicité et du marketing.

Une somme astronomique pour montrer l’exemple

« Les plateformes numériques telles que Google ne peuvent pas prétendre fournir des contrôles de confidentialité aux utilisateurs, puis se détournent et ignorent ces contrôles pour collecter et vendre des données aux annonceurs contre la volonté expresse des utilisateurs et à grand profit », a déclaré le procureur général Matthew J. Platkin. « Lorsque les plateformes en ligne violent le droit des consommateurs à la vie privée, elles mettent leurs utilisateurs en danger. Ce règlement tient Google responsable de sa conduite trompeuse et oblige l'entreprise à apporter des changements significatifs à ses pratiques commerciales pour garantir le respect et la protection des droits à la vie privée des consommateurs ». Le règlement marque la fin d’une longue enquête, ouverte en 2018 à la suite de la publication d’un article de l’Associated Press qui révélait alors que Google « enregistre vos mouvements même lorsque vous lui dites explicitement de ne pas le faire ». 

Dans cet article, deux paramètres de compte Google sont mis en lumière : l'historique des positions et l'activité sur le Web et les applications. L'historique des positions est « désactivé » à moins qu'un utilisateur n'active le paramètre, mais l'activité sur le Web et les applications, un paramètre de compte distinct, est automatiquement « activé » lorsque les utilisateurs configurent un compte Google. Loin de refléter la promesse de confidentialité faite par la firme de Mountain View, cette allégation a été le déclencheur, soulevant des questions aux Etats-Unis notamment. Les procureurs généraux affirment que la firme de Mountain View a violé les lois de protection des consommateurs de l'État en trompant les consommateurs sur ses pratiques de suivi de localisation de diverses manières depuis au moins 2014. Plus précisément, Google a semé la confusion chez les utilisateurs quant à la portée du paramètre « Historique des positions », le fait que le paramètre « Activité sur le Web et les applications » existait et collectait également des informations de localisation, et la mesure dans laquelle les consommateurs qui utilisent les produits et services Google pouvaient limiter le suivi de la localisation du fournisseur en ajustant les paramètres de leur compte et de leur appareil.

Google joue avec le feu depuis des années

En 2017, nous parlions déjà de la collecte de la position des terminaux Android même quand la fonction localisation est désactivée. Une enquête particulièrement fouillée du site Quartz indiquait à l’époque que les smartphones animés par le système d’exploitation Android remontent une grande quantité d’informations dans les datacenters de Google et notamment la position des utilisateurs et ce même quand la fonction géolocalisation est désactivée. Pour suivre à la trace les terminaux Android, Google collecte ainsi les adresses des stations cellulaires relais situées à proximité. Alphabet, sa maison mère, peut donc suivre les mouvements de tous les individus utilisant son OS mobile, constituant de fait une réelle atteinte à la vie privée des utilisateurs.

En mai dernier, l’histoire remonte par le biais d’un rapport d’une association irlandaise, le Conseil irlandais des libertés civiles (CILC). Un système d'enchères en temps réel, appelé RTB, et activement exploité par la firme, permet de suivre et de partager ce que chacun fait ou regarde en ligne, et note la localisation de cette activité en temps réel. La violation est établie à l’échelle mondiale, passant outre toutes les lois faisant foi dans les différents pays du monde. Le CILC précise que les données récupérées par Google, telles que ce que les gens regardent ou font sur un site web ou une application et leur localisation « ultra précise », sont diffusées pas moins de 42 milliards de fois par jour en Europe, et 31 milliards de fois quotidiennement aux États-Unis.

Un message clair pour l’écosystème de la Silicon Valley ?

« Ce règlement envoie un message clair que nous tiendrons les entreprises responsables lorsqu'elles ne donneront pas suite aux assurances qu'elles donnent aux consommateurs », a affirmé Cari Fais, directrice par intérim de la Division des affaires de consommation américaine. De fait, Google a accepté une série de dispositions conçues pour donner aux consommateurs plus de transparence dans les pratiques de collecte de données de localisation de ses services. Les utilisateurs peuvent exiger de Google qu'il affiche des informations supplémentaires aux utilisateurs chaque fois qu'ils activent ou désactivent un paramètre de compte ; divulguer clairement et visiblement des informations clés sur le suivi de localisation aux utilisateurs ; et la création d'une page Web améliorée « Technologies de localisation » où les utilisateurs peuvent obtenir des informations détaillées sur le(s) type(s) de données de localisation que Google collecte et sur la manière dont elles sont utilisées.

Le règlement impose également des limites à l'utilisation et au stockage par Google de certains types d'informations de localisation et exige que les contrôles de compte du fournisseur soient plus conviviaux. La firme californienne ne pourra donc plus faire croire à ses utilisateurs qu’ils ont désactivé le suivi de localisation et dans le même temps continuer à collecter leurs données. Notons que ces dispositions seront mises en place dès 2023. « Conformément aux améliorations que nous avons réalisées ces dernières années, nous avons mis fin à cette investigation qui était basée sur des règlements obsolètes, que nous avons changés il y a des années », a fait savoir José Castañeda, porte-parole de Google, à l’Agence France Presse.