Google paiera-t'il 392 millions pour avoir trompé les utilisateurs sur la géolocalisation. Faut-il le croire ?
Google a accepté de débourser la somme record de 392 millions de dollars pour régler un procès relatif à la protection de la vie privée, l'un des plus importants de ce type. Le procès avait été intenté par les procureurs généraux de 40 États américains, qui accusaient Google d'utiliser des modèles sombres pour tromper les gens sur la localisation. L'action en justice allègue que "depuis au moins 2014 jusqu'à au moins 2019, Google a fait de fausses déclarations et a omis des informations importantes concernant les paramètres de l'historique de localisation et de l'activité web et app. " Ces "fausses déclarations et omissions " ont amené les utilisateurs à croire qu'une fois l'historique de localisation désactivé, Google ne serait plus en mesure de suivre leurs déplacements et d'utiliser les informations collectées pour leur proposer des publicités hautement personnalisées. Comme l'a montré l'enquête, cela ne pourrait être plus éloigné de la vérité.
L'illusion de contrôle
Que les utilisateurs aient activé ou désactivé leur Historique de localisation, Google pouvait suivre leur localisation via le paramètre Activité Web et App, qui est activé par défaut. Google n'a pas révélé qu'il utilisait Web & App Activity pour récolter des données de localisation avant au moins la mi-2018.
Le géant de la technologie avait d'autres tours dans son sac. Même si les utilisateurs voyaient d'une manière ou d'une autre son jeu et désactivaient les deux paramètres, Google était toujours en mesure de les suivre tout en leur laissant l'impression qu'il ne le pouvait plus .
Indépendamment du fait que l'utilisateur ait désactivé l'option "Activité Web et applications" ou "Historique des localisations", Google collecte, stocke et utilise les données de localisation lorsqu'un utilisateur utilise certains produits Google, tels que Google Play Store, Musique, Recherche et Cartes".
Personnalisation des annonces est un autre paramètre qualifié de trompeur par définition. Ce paramètre implique que les utilisateurs peuvent refuser les publicités personnalisées et "contrôler " l'utilisation par Google de leurs données de localisation. En réalité, la désactivation de Personnalisation des annonces n'empêche pas Google d'utiliser les informations de localisation pour les annonces personnalisées, selon l'enquête. Même si le paramètre est désactivé, Google "continue de cibler les annonces en fonction de la localisation de l'utilisateur, que ce soit sur les produits Google ou non ", ce qui ne fait que donner à l'utilisateur "une illusion de contrôle ", selon les avocats.
Et si l'utilisateur décide de se déconnecter de son compte Google, pensant qu'ainsi les tentacules de Google ne l'atteindront pas, il aura une autre surprise. Selon les avocats, "Google collecte et stocke le même type d'informations de localisation des utilisateurs déconnectés lorsqu'ils utilisent les produits Google que celles qu'il collecte et stocke des utilisateurs connectés ", à la seule différence que Google attribue des "identifiants pseudonymes uniques " aux utilisateurs déconnectés. Ce n'est qu'en mai 2018 que Google a révélé qu'il pouvait stocker les informations de localisation des utilisateurs déconnectés.
PHOTO: Henry Perks/Unsplash
Mais même si Google a modifié sa politique de confidentialité depuis lors, elle reste suffisamment compliquée pour maintenir les utilisateurs dans l'ignorance de ses méthodes de géolocalisation, notent les avocats. *Même aujourd'hui, Google n'explique pas qu'il stocke et déploie également les informations de localisation des utilisateurs qui ne sont pas connectés à un compte Google lorsqu'ils utilisent les produits Google", notent-ils.
L'accord, qui a déjà été qualifié d'"historique", n'équivaut pas à un aveu de culpabilité. Toutefois, il s'en rapproche le plus. Dans le cadre de l'accord, Google a accepté de montrer aux utilisateurs davantage d'informations lorsqu'ils activent ou désactivent les paramètres de localisation, et de leur fournir des détails sur les types de données de localisation qu'il collecte à leur sujet.
L'amende a également battu le record du plus gros montant jamais payé par Google dans le cadre d'un règlement relatif à la protection de la confidentialité. Le record précédent avait été établi en 2019, lorsque Google avait été condamné à une amende de 170 millions de dollars par la Commission fédérale américaine pour avoir suivi des enfants qui regardaient YouTube.
Que dit Google à ce sujet ?
Comme c'est souvent le cas avec les grandes entreprises technologiques prises en flagrant délit de violation des lois sur la protection de la vie privée, Google a présenté ses pratiques récentes et actuelles comme une relique du passé. Et a promis de se reprendre (mais bien sûr).
Dans un billet de blog du 14 novembre, Google a déclaré avoir déjà mis en place de nombreux outils qui "minimisent" sa capacité à collecter des données. Certains de ces outils permettent aux utilisateurs de fixer une limite de temps pour la durée de stockage de leurs données par Google, d'utiliser le mode incognito sur Google Maps et de supprimer leurs données dans Maps et dans Search sans quitter les applications.
*Conformément à ces améliorations, nous avons réglé une enquête menée par 40 procureurs généraux d'États américains sur la base de règles de produit obsolètes que nous avons modifiées il y a des années", a déclaré la société.
Google a également promis de faciliter la suppression des données de localisation et a déclaré qu'il clarifierait ses méthodes de suivi de la localisation dans la configuration du compte Google.
En présentant les nouvelles fonctionnalités, Google a présenté le suivi de la localisation sous un angle positif. Par exemple, il a promis "de donner aux utilisateurs qui créent de nouveaux comptes une explication plus détaillée de ce qu'est l'Activité Web et App, des informations qu'elle comprend et de la manière dont elle contribue à leur expérience Google". Bien que l'avantage pour l'utilisateur d'une nuée d'annonces personnalisées payées par le plus offrant soit discutable, Google lui-même profite grandement du suivi de la localisation. Plus de 80 % de ses revenus proviennent de la publicité numérique. Et, comme l'indique l'action en justice, "la capacité de Google à suivre l'emplacement physique des utilisateurs après qu'ils ont cliqué sur des annonces numériques est son unique argument de vente ".
À première vue, il n'est pas logique que Google renonce volontairement à son avantage concurrentiel, c'est-à-dire qu'il arrête ou limite sévèrement sa propre collecte de données de localisation. Présenter à l'utilisateur le contrôle total de ce processus sur un plateau d'argent n'a pas non plus de sens - comme le dit le dicton, "le secret de la tyranniecollecte massive de données est de les garder ignorants". Pourtant, Google met en avant son prétendu respect de la vie privée et promet d'en faire plus à cet égard. L'accord n'est qu'une "nouvelle étape sur la voie qui consiste à offrir des choix plus significatifs et à minimiser la collecte de données tout en fournissant des services plus utiles ", déclare Google. Le langage utilisé est plutôt vague et laisse à Google une grande marge de manœuvre. Mais cela signifie-t-il que nous ne devons pas croire en ses bonnes intentions ? Les géants de la technologie ont toujours tenu leurs promesses, n'est-ce pas ?
Des promesses faites, des promesses… non tenues
Google, ainsi que Meta et d'autres grandes entreprises technologiques, ont un dossier peu flatteur lorsqu'il s'agit de tenir leurs promesses en matière de protection des données personnelles. Difficile de garder trace de tous les cas où les grandes entreprises ont été accusées de violer une loi sur la protection de la vie privée et ont tenté de justifier leurs actions avec plus ou moins de crédibilité. Parfois, elles affirmaient ce qui n'allait pas (ou plutôt, ce que quelqu'un avait mal compris de leurs politiques). Parfois, ils faisaient des promesses supplémentaires qu'ils ne tenaient pas par la suite. Leurs manquements à la protection de la vie privée n'ont plus rien de choquant depuis longtemps ; à l'heure actuelle, nous serions plutôt choqués s'ils cessaient de se produire.
En juin 2016, Google est revenu sur sa promesse de conserver les informations personnelles identifiables (PII) qu'il collectait à partir de Gmail et de ses autres services séparément des données de navigation sur le Web utilisées pour le suivi des annonces. La société a littéralement effacé une ligne de sa politique de confidentialité qui promettait que les deux groupes de données ne se mélangeraient pas. Les anciens utilisateurs ont été invités à accepter le suivi par une vague demande de "nouvelles fonctionnalités pour votre compte Google ", tandis que les nouveaux utilisateurs ont été inscrits par défaut. À l'époque, Google a balayé d'un revers de main toute inquiétude concernant le respect de la vie privée. Un porte-parole de la société a déclaré que Google s'adaptait simplement à la révolution des smartphones et que le changement était "100 % facultatif " "Nous avons fourni des notifications bien visibles aux utilisateurs à propos de ce changement dans un langage facile à comprendre ainsi que des outils simples permettant aux utilisateurs de contrôler ou de supprimer leurs données", a déclaré Google à l'époque. En 2022, ces "outils simples" ne se sont pas encore matérialisés.
En ce qui concerne la suppression des données, Google est connu pour ne pas avoir toujours respecté ses promesses de suppression des données. Dans une lettre adressée en 2012 au régulateur britannique, Google a reconnu qu'il n'avait pas supprimé toutes les données personnelles recueillies dans le cadre de son programme Street View, deux ans après avoir promis de le faire. Ces données comprenaient des mots de passe, des documents juridiques et médicaux provenant de réseaux Wi-Fi non sécurisés et n'étaient pas censées être collectées en premier lieu. À l'époque, Google a déclaré qu'il s'agissait d'une "erreur " et s'est excusé.
En ce qui concerne les atteintes plus récentes à la vie privée, en janvier 2019, le régulateur français a infligé une amende de 50 millions d'euros à Google pour avoir empêché les utilisateurs de savoir ce que la société faisait de leurs informations personnelles, par exemple quelles données étaient utilisées pour personnaliser les publicités. Le régulateur a également déclaré que Google n'avait pas réussi à obtenir un consentement explicite des utilisateurs pour le ciblage publicitaire.
Google a répondu par une déclaration : "Les gens attendent de nous des normes élevées de transparence et de contrôle. Nous sommes profondément engagés à répondre à ces attentes et aux exigences de consentement du GDPR. "
En janvier 2022, Google (ainsi que Facebook) a été condamné à une nouvelle amende de 150 millions d'euros par le régulateur français, cette fois pour avoir obligé les utilisateurs à franchir des obstacles pour refuser les cookies - la méthode de suivi la plus courante.
Comme la fois précédente, la réponse de Google a été tout aussi fade : *"Les gens nous font confiance pour respecter leur droit à la vie privée et assurer leur sécurité. Nous sommes conscients de la responsabilité qui nous incombe de protéger cette confiance et nous nous engageons à procéder à de nouveaux changements et à travailler activement avec la CNIL à la lumière de cette décision".
Ces déclarations ressemblent à ce qu'une IA pourrait écrire lorsqu'on lui demande de produire une excuse grammaticalement correcte mais dénuée de sens. À ce point, la rhétorique de l'entreprise ressemble de plus en plus à un disque rayé. Et malgré son prétendu respect de la vie privée qu'elle prétend maintenant redécouvrir, il y a peu de chances que Google fasse volte-face sur la façon dont elle traite les données de ses utilisateurs, à moins qu'elle ne modifie son modèle de revenus. Il semble peu probable que quiconque attende désormais de Google des "normes élevées de transparence " ou un "respect de la vie privée ". Mais nous serons toujours heureux de constater que nous avons tort.
Google est loin d'être le seul géant de la technologie coupable de trouver des excuses boiteuses à ses transgressions en matière de protection de la vie privée et de faire des promesses qui ne sont que des paroles en l'air.
Facebook et Instagram
En 2018, Facebook a admis que la société de conseil politique Cambridge Analytica avait récupéré les données de jusqu'à 87 millions d'utilisateurs par le biais d'une appli de quiz tierce. Le scandale a porté un coup puissant à la réputation de Facebook et a incité l'entreprise à limiter la quantité de données qu'elle partage avec des apps tierces. Dans les jours qui ont suivi l'éclatement du scandale, Mark Zuckerberg, PDG de Facebook, a promis de protéger les données des utilisateurs à l'avenir.
"Nous avons la responsabilité fondamentale de protéger les données des gens et si nous ne pouvons pas le faire, nous ne méritons pas d'avoir la possibilité de servir les gens " Zuckerberg a déclaré.
Cependant, M. Zuckerberg ne jure apparemment que par un concept de protection des données qui diffère de manière frappante de celui que les gens ordinaires associent normalement à la protection des données. Facebook (aujourd'hui Meta) a été embourbé dans d'innombrables controverses liées à la protection de la vie privée après avoir payé une pénalité de 5 milliards de dollars suite au fiasco de Cambridge Analytica.
L'année suivant la débâcle de Cambridge Analytica, les numéros de téléphone de quelque 419 millions d'utilisateurs de Facebook ont été exposés dans une base de données en ligne ouverte. Grâce à cette base de données, n'importe qui pouvait associer un numéro de téléphone à l'identifiant Facebook unique d'un utilisateur. Certaines des entrées comportaient également des noms et des pays. Facebook a déclaré que l'ensemble de données était "ancien " et avait été récupéré avant que l'entreprise ne rende impossible la recherche d'une personne sur Facebook par son numéro de téléphone. Un porte-parole de l'entreprise a également affirmé que la moitié des numéros de téléphone étaient des doublons.
Au début de l'année, Instagram a été accusé d'avoir illégalement "stocké des millions d'identifiants biométriques " par le biais de certains types de filtres sans le consentement des utilisateurs. Meta a contesté cette allégation, mais a rendu les filtres indisponibles au Texas, où la plainte a été déposée. Il y a un an, Facebook a annoncé qu'il mettrait fin à son programme de reconnaissance faciale et supprimerait "plus d'un milliard de modèles individuels de reconnaissance faciale " en raison de préoccupations croissantes en matière de protection de la vie privée.
En septembre, Meta (ainsi que Google) a été condamné à une amende de 22 millions de dollars par le régulateur sud-coréen. Le régulateur a accusé la société de suivre les utilisateurs en dehors de ses propres plateformes, c'est-à-dire Facebook et Instagram, sans leur consentement. Les données collectées étaient ensuite utilisées pour des publicités ciblées. Meta a déclaré qu'elle était "confiante " qu'elle travaillait d'une "manière conforme à la loi " et a menacé de contester la décision devant les tribunaux.
Tout récemment, Meta a été accusé de contourner les règles de confidentialité d'Apple qui permettent aux utilisateurs de refuser le suivi par des tiers sur iOS. Meta a répondu à cette accusation : "Ces allégations sont sans fondement et nous nous défendrons vigoureusement ", a déclaré un porte-parole de la société. La politique d'Apple, connue sous le nom d'App Tracking Transparency (ATT), devrait coûter à Meta près de 10 milliards de dollars. Elle réduit la capacité de Meta à collecter des données personnelles et à vendre des publicités personnalisées basées sur ces données. Comme Google, Meta est entièrement dépendante de l'argent de la publicité, il est donc logique que l'entreprise cherche des solutions de contournement.
Photo: Niv Singer/Unsplash
Meta peut nier qu'elle fait passer les gens avant les profits, mais ses actes continuent de parler plus fort que les mots. L'année dernière, il a été révélé que Facebook permettait aux annonceurs de cibler des enfants de 13 ans seulement avec des publicités promouvant le tabagisme, les jeux d'argent et la perte de poids extrême. L'entreprise n'a mis fin à cette pratique que plusieurs mois après qu'elle ait été signalée.
Cette liste est loin d'être exhaustive, mais elle montre que Meta continue à échouer dans la protection des données et de la vie privée des personnes. Selon les propres mots de Zuckerberg, si Meta est incapable de le faire, alors elle ne mérite pas d'exister. Cependant, nous ne nous attendons pas à ce que le PDG de Meta tienne cette promesse (ou toute autre promesse, d'ailleurs).
Quand l'argent parle
Il semblerait que les entreprises soient désormais à court d'excuses pour expliquer pourquoi elles continuent de compromettre la vie privée des utilisateurs malgré leurs promesses de la respecter. Qu'il s'agisse d'excuses timides, de vœux de "plus jamais ça" ou de démentis catégoriques, les entreprises technologiques dont le produit principal est l'utilisateur feignent de s'intéresser à la protection de la vie privée. Dans une société de plus en plus soucieuse du respect de la vie privée, ces entreprises ne peuvent se permettre d'aller ouvertement à contre-courant. Cependant, tout leur modèle repose sur l'exploitation des données des utilisateurs, et rien n'indique que cela changera un jour.
Peu importe le nombre de promesses sincères ou tièdes, d'excuses et de déclarations bien formulées que leurs services de relations publiques produisent. La réalité est que l'arrêt de la collecte de vos données personnelles n'est pas dans leur intérêt réel. Toutes les mesures qu'ils prennent pour "protéger" la vie privée des utilisateurs sont réactives et non proactives (même s'ils essaient de faire croire le contraire), ce qui signifie qu'ils doivent les appliquer sous la pression des régulateurs et des poursuites judiciaires. Et à moins que les régulateurs ne commencent à appliquer sérieusement les mesures de protection de la vie privée, il est peu probable que Big Tech lève le petit doigt.
Pour l'observateur occasionnel, il pourrait sembler qu'il n'y a pas d'alternative à un modèle de revenus basé sur la publicité numérique et, par conséquent, pas d'alternative à la traite des données des utilisateurs pour le profit. En 2018, Sheryl Sandberg, alors directrice de l'exploitation de Facebook, a déclaré qu'il n'y aurait pas de bouton de retrait pour tout sur le site, car dans ce cas, Facebook serait un "produit payant ". Mais si certaines plates-formes hésitent à changer leur mode de fonctionnement, d'autres se tournent vers le modèle freemium. Twitter, qui est aujourd'hui, il faut bien l'admettre, un véritable gâchis, s'est fixé pour objectif de développer son abonnement payant Twitter Blue. Et si les tentatives d'introduction de nouvelles fonctionnalités dans Twitter Blue semblent extrêmement précipitées et maladroites, une fois la poussière retombée, elles pourraient servir Twitter à long terme (ou accélérer sa disparition - ce que nous n'avons pas encore découvert).
Le nouveau réseau de médias sociaux BeReal, qui encourage les utilisateurs à publier leurs photos non retouchées - "réelles" - serait en train d'envisager l'introduction de fonctionnalités payantes. La grande question est de savoir si les utilisateurs seront prêts à soutenir un produit avec leur propre argent durement gagné, mais c'est là que commence la véritable concurrence, la recherche de l'innovation et de la valeur ajoutée.