Un bref retour sur la décision de la @cnil d'hier à propos de Google et Android. Comme le souligne @reesmarc dans son article nextinpact.com/news/107531-rg… l'argumentation et les moyens utilisés par la @cnil sont plus intéressants que le montant de l'amende.

[Thread]

On est encore un peu loin du compte, mais des éléments clefs sont posés, repris directement du RGPD pour arriver dans l'argumentation de la @cnil (c'est important, parce qu'elle aurait pu passer tout ça sous silence d'une pirouette) :

1. Cliquer sur "J'accepte tout", quand l'alternative est de se fader des centaines de pages de docs et des tas de bidules à décocher, ce n'est pas un consentement éclairé. Le RGPD le dit. La @cnil le reprend. Un grand nombre de site devraient y réfléchir.

2. La publicité ciblée est indépendante des nécessités du service (une publicité non ciblée pourrait servir de base de rémunération, par exemple), et demande donc le consentement de l'utilisateur. Ce consentement doit être explicite. Pour *cet* usage, pas un autre.

Donc, cliquer sur "Je veux le service" ne dit pas "Je souhaite que la publicité soit ciblée". Or, le RGPD est clair, il est interdit que le service soit subordonné à une collecte de données utilisées à autre chose que rendre le service.

Si certains utilisateurs préfèrent que la publicité soit ciblée, ils peuvent le demander (et donc consentir à partager leur vie privée avec les agences de pub), mais ça ne peut pas être un consentement implicite. C'est dans le RGPD. La @cnil le rappelle.

De mon point de vue (et c'est mon opinion sur le RGPD depuis le début), c'est la mort de la publicité ciblée en Europe. Et donc la mort du tracking publicitaire. Et je trouve que c'est une très TRÈS bonne chose. Cette saleté est une source majeure d'abus.

Qu'on s'entende bien : la décision de la @cnil ne décide pas de la fin de la publicité ciblée. Mais par les arguments qu'elle reprend, elle va dans cette direction-là.

3. Cette sale manie de Google de ranger les informations n'importe comment, est incompatible avec le faire de demander un consentement éclairé. Le simple fait que les infos soient mal présentées, dans des documents longs et obscures, est un problème.

Il est donc *nécessaire* que les informations soient présentées de manière claire *avant* que l'utilisateur soit réputé avoir consenti. Ça semble évident, en fait : comment voulez-vous être d'accord avec un truc imbitable ?

4. Google a essayé de plaider que les plaintes de @laquadrature et @NOYBeu étaient irrecevables (genre, c'est pas notre taff, on n'est pas concernés, le papier était pas de la bonne couleur, etc).

La @cnil y répond d'abord en disant qu'elle s'en fiche : une fois qu'elle a connaissance d'un problème, elle est compétente pour se saisir elle-même, donc si la plainte était nulle, ce serait sans effet. C'est important. Ça veut dire qu'elle examinera les plaintes.

Y compris si elles ne sont pas très bien formulées, genre t'as pas d'avocat, tu peux y aller quand même. T'as pas ton juriste bac+12 spécialité RGPD, droit international et droit public, tu peux y aller quand même. Si ça intéresse la @cnil, elle prendra. C'est important.

Ensuite, la @cnil dit qu'elle considère qu'en plus, nos plaintes sont recevables.

Maintenant, en quoi la décision est légère. D'une part, elle ne couvre qu'une partie du sujet. Si on voulait décerner une palme à Google pour l'ensemble de son oeuvre en matière d'atteinte à la vie privée, il y aurait encore beaucoup de boulot à fournir.

La @cnil ne parle par exemple pas des "shadow profile". Je visite YouTube, sans compte Google, sans être connecté. Je regarde quelques vidéos. Je ferme mon navigateur. Je le ré-ouvre. YouTube me propose des vidéos en rapport avec ma visite précédente.

Donc, YouTube a gardé trace de ce que j'ai fait la dernière fois. Ce sont des données personnelles. Comment puis-je exercer mes droits ? À qui sont transmises ces données ? Où est mon consentement ? Questions laissées en suspend pour le moment.

Même questions sur le moteur de recherche. Il y a, là aussi, un "shadow profile" (ça se démontre à peu près de la même manière que pour YouTube). Là aussi, des montagnes de données personnelles sont manipulées, dont mon historique de recherche.

La plainte de @laquadrature était beaucoup plus large que ce qu'a couvert la @cnil dans cette première décision, et n'était cependant pas exhaustive.

Il reste un peu de travail pour nettoyer tout ça. Mais ce premier coup de balais est vraiment intéressant. Donc, merci la @cnil !

Ah oui, dans les choses qui manquent, à mon sens : la @cnil aurait pu utiliser d'autres pouvoirs de sanction, en plus de l'amende (article 58 du RGPD). En parculier :

- la @cnil pouvait demander l'effacement des données collectées/traitées en lien avec ce consentement vicié, elle ne l'a pas fait (paragraphe 2-g)
- la @cnil pouvait demander qu'il soit mis fin au traitement illégal, elle ne l'a pas fait (paragraphe 2-f)

- la @cnil pouvait demander que les utilisateurs dont les données ont été collectées via ce consentement vicié soient notifiés de cette condamnation (et de leurs droits), elle ne l'a pas fait (par. 2-e)

Elle s'est contenté, si je comprends bien, de l'amende administrative prévue par le pragraphe 2-i et dont les conditions sont précisées à l'article 83.

Art. 83 qui précise que "En tout état de cause, les amendes imposées sont effectives, proportionnées et dissuasives."