Lettre d'information - Juillet-Août 2018

NOUVEL ÉPISODE DES TRIBULATIONS GOOGLE

Il y a quelques jours, des articles de journaux détaillaient la nouvelle découverte de chercheurs de l’université de Princeton concernant les pratiques de Google : apparemment, ce groupe tient tellement à savoir où vous êtes et où vous allez qu’il enregistre vos mouvements même quand vous lui dites clairement que vous ne le souhaitez pas. Les services intégrés dans les smartphones Android, avec un système d’exploitation Google donc, et même les iPhones gardent en mémoire vos données de géolocalisation même quand les réglages de protection de la vie privée interdisent ce stockage.

Google se défend d’agir à l’insu des utilisateurs, car il existe un autre réglage, appelé « Activité web et app », activé par défaut, qui stocke un certain nombre d’informations à partir d’apps et de sites Google vers votre compte Google. Ce n’est que lorsque ce réglage est désactivé que vos mouvements ne sont plus enregistrés. Le problème, c’est que trouver le bon réglage pour chaque application est difficile et souvent indirect car il se trouve sous des titres qui n’ont rien à voir a priori avec la géolocalisation.

Le but de ces pratiques pour Google : bien évidemment, augmenter son chiffre d’affaires en vendant la géolocalisation à des annonceurs, ce qui leur permet d’envoyer aux utilisateurs de smartphones des publicités « localisées »… donc plus ciblées, et potentiellement plus rentables.

Etant donné la loupe sous laquelle les autorités européennes de contrôle ont placé Google depuis quelques années, il est possible et même probable que la question de savoir si ces pratiques, dont le moins qu’on puisse dire est qu’elles ne sont pas clairement dévoilées aux utilisateurs, sont licites sous le régime du Règlement, va être intensément débattue, et nous verrons peut-être une nouvelle décision contre Google publiée dans le futur.

Ce qui est sûr, c’est que la sensibilité des utilisateurs grandit très vite, du fait soit des abus déjà découverts, soit de législations nouvelles comme le Règlement, et que les sociétés soumises à ce dernier ont grand intérêt à vérifier rapidement que leurs pratiques sont bien en règle, sinon à entamer le processus de mise en conformité sans attendre, car nul doute que les plaintes de particuliers auprès des autorités de contrôle vont se multiplier, ce qui déclenchera des audits.

Aux toutes dernières nouvelles, un procès vient d’être intenté contre Google en Californie.

PENDANT CE TEMPS, EN FRANCE, LA CNIL AGIT DANS LE MÊME DOMAINE

Mi-juillet, la CNIL a mis en demeure deux sociétés (FIDZUP et TEEMO) pour qu’elles recueillent le consentement (avec ses caractéristiques définies dans le Règlement : clair, spécifique, éclairé et univoque) pour le traitement qu’elles opèrent par le biais de modules SDK (« Software Development Kits » ou « Kits de développement ») qu’elles installent dans des applications mobiles et qui permettent de réaliser du ciblage publicitaire.

La CNIL a en effet déterminé que ces deux sociétés incluaient dans ces modules SDK des technologies qui permettent de géo-localiser les utilisateurs des smartphones ayant téléchargé les applications les contenant, même lorsque ces applications ne sont pas en mode actif, ce qui permet aux deux sociétés de faire envoyer par différents annonceurs des publicités ciblées en fonction de la localisation des utilisateurs.

Or, il est reproché à ces sociétés, qui prétendent pourtant opérer avec le consentement des personnes concernées, de ne pas avoir recueilli un consentement valable. D’une part, les créateurs d’applications partenaires ne sont pas informés de l’existence même des modules SDK et de leurs fonctionnalités détaillées. D’autre part les finalités du traitement ou l’identité du responsable de traitement ne sont pas communiquées. Enfin, il est impossible de télécharger les applications en question sans ces modules, ou au moins de bloquer la transmission de données aux deux sociétés.

La CNIL a donné seulement trois mois aux sociétés concernées pour se mettre en conformité, et surtout elle a rendu publiques les procédures engagées contre les deux sociétés, ce qui non seulement a des conséquences immédiates sur leurs perspectives de succès commercial dans le futur, mais sert aussi de drapeau rouge à tout le secteur d’activité. On suppose qu’une enquête sur les pratiques de Google mises en exergue dans l’article précédent ne saurait tarder…

LES DIFFÉRENTES ÉTAPES POUR UNE LETTRE D’INFORMATION CONFORME

Les grands principes du Règlement demandent une attention particulière lorsque vous souhaitez proposer une « lettre d’information » à vos prospects, clients ou relations d’affaires. Tout d’abord, si une personne peut demander à recevoir votre lettre en s’inscrivant sur votre site Internet ou bien en remplissant un bordereau, la première étape est de bien conserver cette information (sous forme électronique ou papier) qui confirme la démarche volontaire de la personne.

Par exemple, si la personne a passé une commande, vous pouvez proposer l’inscription à votre lettre lors de la confirmation de cette commande mais attention, vous ne pouvez pas cocher la case en avance. C’est à l’internaute d’effectuer cet acte clair et univoque de l’inscription. Dans le jargon marketing, on parle de « opt-in » (c’est ma décision de cocher la case) et de « opt-out » (devoir décocher soi-même). Le Règlement a clairement imposé la règle du « opt-in » et déclaré celle du « opt-out » invalide.

La deuxième étape – qui n’est pas expressément indiquée dans le Règlement mais fait partie des meilleures pratiques d’envoi de newsletters – consiste à envoyer un courriel demandant la confirmation de l’inscription en utilisant l’adresse email fournie. En effet, rien ne prouve que ce soit vraiment la personne titulaire de cette adresse qui a demandé l’inscription. La confirmation peut se faire par un clic sur un bouton, sur un lien ou une simple réponse à l’expéditeur. Là encore, il est important de garder la preuve de cette action. Avec ces deux étapes, vous êtes sûr que la personne a pris elle-même les décisions et qu’en aucun cas vous ne l’avez contrainte à s’abonner. On parle alors de « double opt-in ».

Enfin, dans chaque lettre, vous devez offrir la possibilité à vos abonnés de se désinscrire. Vous devez bien entendu conserver cette information et l’appliquer.

QUI SOMMES-NOUS ?

LegIT-Team est une société spécialisée dans les services aux entreprises pour la mise en conformité avec le Règlement. Elle est formée d’experts à la fois dans le domaine des technologies de l’information et dans le domaine juridique. LegIT-Team maîtrise donc toutes les compétences dont votre entreprise a besoin pour vous expliquer plus en détail ce que le Règlement Général sur la Protection des Données signifie pour votre entreprise. De plus, LegIT-Team peut vous aider à mener à bien le projet : revue de votre structure, identification des processus et procédures à améliorer ou créer, définition des priorités et des moyens à mettre en œuvre à court et long terme. LegIT-Team peut aussi prendre en charge la réalisation des différentes composantes.

Prenez les choses en main dès maintenant, parlez avec nous et nous vous aiderons à mieux comprendre ce que vous devez accomplir pour être en règle avec la nouvelle règlementation européenne.