Comment Google se moque de la CNIL

Google viole la directive "ePrivacy" pour vous surveiller sans consentement. Sanctionné, il ne change pas

Publié par Pixel de Tracking le 21 févr. 2021

Google sanctionné pour manquement à la loi Informatique et Libertés

Le 7 décembre dernier, la CNIL sanctionne Google à hauteur de 100 millions d'euros pour avoir enfreint la législation française sur les cookies :

cnil

Sur le moteur de recherche de Google, la CNIL a relevé 3 violations à l'article 82 de la loi Informatique et Libertés (transposition de la directive « ePrivacy ») :

  • Un dépôt de cookies sans recueil préalable du consentement de l’utilisateur : plusieurs cookies poursuivant une finalité publicitaire étaient automatiquement déposés lorsque l'utilisateur se rendait sur google.fr (cookies non essentiels au service).
  • Un défaut d’information des utilisateurs du moteur de recherche google.fr : le bandeau d'information ne fournissait aucune information relative aux cookies.
  • La défaillance partielle du mécanisme « d’opposition » : désactiver la personnalisation des annonces n'avait pas d'impact sur un des cookies publicitaires.

Le moteur de recherche, vache à lait de Google

Si Google propose une multitude de services, son moteur de recherche génère toujours la majorité de ses revenus :

revenue

Lors du 4ème trimestre 2020, la recherche Google générait 56% de ses revenus. Les sites partenaires, YouTube, Google Play ou Google Cloud représentent une part non négligeable des revenus, mais ils sont beaucoup moins rentables.

La recherche est stratégique pour Google, elle lui a permis d'imposer son capitalisme de surveillance à de multiples domaines :

Google face à la CNIL

Nous avons donc :

  • D'un côté la loi, censée protéger la vie privée des internautes, matérialisée ici par une sanction de la CNIL.
  • De l'autre côté, l'exploitation de vos données personnelles sur le service le plus stratégique de Google, son moteur de recherche.

Quel sera le vainqueur ?

Dans sa sanction, la CNIL relève 2 points :

  • Depuis une mise à jour de septembre 2020, Google cesse de déposer automatiquement les cookies publicitaires dès l’arrivée de l’utilisateur sur la page google.fr.
  • Le nouveau bandeau d’information ne permet toujours pas aux utilisateurs résidant en France de comprendre les finalités pour lesquelles les cookies sont utilisés et ne les informe pas du fait qu’ils peuvent refuser ces cookies.

La CNIL indique que Google a 3 mois pour informer correctement les utilisateurs, sous peine du paiement d'une astreinte de 100.000 euros par jour de retard. Étudions maintenant ce qui se passe à la première visite sur google.fr.

Google continue le dépôt automatique de cookies publicitaires

Démarrons notre investigation sur google.fr :

  • Désactivez votre adblocker.
  • Supprimez les cookies sur Chrome (Paramètres > Paramètres avancés > Effacer les données de navigation), ainsi vous êtes déconnecté de votre compte Google.
  • Ouvrez la console Chrome (⌘+Option+J sur Mac, Ctrl, Shift et J sur PC), onglet "Network" ou lancez Charles Proxy.
  • Puis allez sur google.fr.

continuer

Comme vous pouvez le voir, le bandeau d'information fournit maintenant de l'information relative aux cookies, mais ne permet pas de refuser facilement le dépôt de cookies non essentiels.

Que dit la loi ? Si l'on cite la CNIL, le consentement n'est valide que si la personne exerce un choix réel. En particulier, "l'utilisateur doit pouvoir accepter ou refuser le dépôt et/ou la lecture des cookies avec le même degré de simplicité". Ce n'est clairement pas le cas ici.

Google cesse-t-il de déposer automatiquement des cookies publicitaires dès l’arrivée de l’utilisateur sur la page google.fr comme le déclare la CNIL ? Regardons les requêtes via Charles Proxy :

nid

Comme on le voit, Google dépose le cookie NID dès l'arrivée sur google.fr. À quoi sert ce cookie ? Selon les propres mots de Google :

Nous utilisons des cookies, tels que "NID" et "SID", pour personnaliser les annonces sur les sites Google, tels que la recherche Google. Ils nous servent, par exemple, à mémoriser vos recherches les plus récentes, vos interactions précédentes avec les résultats de recherche ou les annonces d'un annonceur, ainsi que vos visites sur le site Web d'un annonceur. Cela nous permet de vous présenter des annonces personnalisées sur Google.

Google a également indiqué à la CNIL que le cookie NID poursuivait une finalité publicitaire (cf. la délibération, point 99) :

La formation restreinte relève que la société GIL a indiqué dans son courrier du 30 avril 2020 que quatre des sept cookies déposés, soit les cookies NID , IDE , ANID et 1P_JAR , poursuivent une finalité publicitaire.

Et pourtant, la CNIL souligne que Google a arrêté cette pratique (point 102) :

Elle souligne néanmoins que durant la procédure de sanction les sociétés ont apporté des modifications à la page google.fr, qui ont notamment amené, depuis le 10 septembre 2020, à l’arrêt du dépôt automatique de ces quatre cookies dès l’arrivée de l’utilisateur sur la page.

Le contrôle de la CNIL a-t-il été correctement effectué ? Toujours est-il que Google continue de violer la loi, cf. le site de la CNIL :

Le consentement doit être préalable au dépôt et/ou à la lecture de cookies. Tant que la personne n'a pas donné son consentement, les cookies ne peuvent pas être déposés ou lus sur son terminal.

Des pièges dans le parcours de consentement Google

Le bandeau d'information Google nous dit :

Si vous acceptez, nous personnaliserons le contenu et les annonces que vous voyez en fonction de votre activité sur les services Google comme la recherche, Maps et YouTube. [...] Cliquez sur "Plus d'informations" pour découvrir les options qui s'offrent à vous

Si je clique sur "Plus d'informations", je suis exposé à une nouvelle fenêtre d'information :

infos1

Google détaille ici les données personnelles traitées, les finalités, ainsi que les paramètres de confidentialité. Notez toujours les boutons "J'accepte" et "Autres options" : Google ne permet toujours pas de refuser le dépôt de cookies non essentiels.

Là, vous pourriez vous perdre dans le parcours de Google et cliquer sur "Autres options", en espérant tomber "rapidement" sur l'option pour refuser la surveillance publicitaire. Vous découvrirez cet écran :

autres

Là, Google présente plusieurs options :

  • Ajuster les paramètres de confidentialité : c'est la bonne option ! Il vous faut cliquer sur "Ajustez vos paramètres dès à présent".
  • Paramétrer les cookies dans le navigateur : option que Google ne recommande pas : "Vous pouvez bloquer une partie ou l'ensemble des cookies, mais cela risque d'empêcher l'exécution de certaines fonctionnalités sur le Web. Par exemple, de nombreux sites Web requièrent l'activation des cookies lorsque vous souhaitez vous y connecter.".
  • Installer un module complémentaire pour désactiver le suivi de Google Analytics : Google Analytics est malheureusement loin d'être le seul outil dont Google se sert pour vous surveiller sur le web (Google vous surveille d'abord via la publicité). Inutile de dire qu'une personne soucieuse de sa vie privée préfèrera utiliser un adblocker.
  • Vous connecter à votre compte Google : afin de ne plus voir ce rappel ! Google indique en effet : "Si vous effacez régulièrement les cookies de votre navigateur, vous continuerez à recevoir ce rappel de confidentialité, car nous n'avons aucun moyen de savoir que vous l'avez déjà vu". L'inconvénient de vous surveiller par défaut : sans cookies, Google part du principe qu'il a le droit de vous surveiller !

Que se passe-t-il si vous cliquez sur "Ajustez vos paramètres dès à présent" ? Vous revenez à l'étape précédente ! Mais vous n'étiez pas assez attentif, l'étape contient des liens vers la modification de paramètres :

modifiez

Le parcours du combattant n'est pas terminé.

16 clics supplémentaires pour refuser la surveillance

Cliquons donc sur "Modifier les paramètres de recherche" :

recherche

Décochons donc "L'enregistrement des recherches", puis cliquons sur "Retour" et enfin sur "Modifier les paramètres des annonces" :

annonce

Ici, il vous faut décocher "Personnalisation des annonces sur la recherche Google" et "Personnalisation des annonces sur le Web". Avec ces paramètres cochés par défaut, Google se permet de vous surveiller sur les "plus de deux millions de sites Web partenaires de Google pour la diffusion d'annonces".

Lorsque vous décochez "Personnalisation des annonces sur la recherche Google", vous avez droit à une petite surprise supplémentaire :

desactiver

Êtes-vous vraiment sûr de vous ? Google vous rend la tâche encore un peu plus difficile : vos recherches en disent beaucoup sur vous...

Et lorsque vous cliquez sur "Désactiver", Google affiche un message de toute beauté :

refus

"La prise en compte de cette modification par nos systèmes peut prendre un certain temps."

Google ne doit pas s'attendre à ce que vous réussissiez le chemin d'obstacle ! Même punition si vous cliquez sur le bouton "Désactiver" pour la "Personnalisation des annonces sur le Web" :

web

Là aussi, on voit que c'est compliqué pour Google :

web2

Si vous voulez installer d'autres cookies "Opt-out", qui ne désactivent que la personnalisation des publicités mais laissent les sociétés de l'adtech vous surveiller, Google vous redirige vers le site de l'industrie publicitaire :

Vous pouvez également désactiver la personnalisation des annonces pour plus de 100 autres réseaux publicitaires en ligne.

Revenez encore sur le bandeau d'information pour cliquer maintenant sur "Modifier les paramètres YouTube" :

youtube

Cette fois-ci, vous êtes dirigé vers le site YouTube, il vous faut encore décocher "Vidéos que vous regardez sur YouTube" et cliquer sur "Effacer l'historique des vidéos regardées":

historique

Puis il vous faut décocher "Vidéos que vous recherchez sur YouTube" et cliquer sur "Effacer l'historique des recherches" :

yt

Et pour couronner ce beau parcours, lorsque vous revenez sur le bandeau d'information, il vous faut cliquer sur "J'accepte" (cela reste le seul moyen de supprimer ce bandeau d'information, même si vous venez de tout refuser) :

accepte

Au total, si vous prenez le chemin le plus rapide, il vous faut 17 clics !

Pendant le parcours de "non consentement", la surveillance continue

Que se passe-t-il pendant ce parcours de "non consentement" ? Si l'on observe les requêtes via Charles :

parcours

Google continue d'alimenter ses services publicitaires, dont Google Analytics et Doubleclick.

Malgré votre refus, vous continuez d'être surveillé par Google sur le web

Suite à ce parcours d'obstacles, consultons le site Lemonde.fr (dopé aux traceurs, cf. "Consentement : le pire de l'expérience utilisateur et de la surveillance avec Lemonde.fr") et filtrons les requêtes sur Google :

lemonde

Comme vous le voyez, Lemonde.fr aime bien Google.

Manque de chance, Google n'a pas supprimé le cookie NID. En conséquence, de nombreuses requêtes sont envoyées depuis le site Lemonde.fr vers Google avec votre identifiant stocké dans le cookie NID (rappel, c'est un cookie publicitaire). Ainsi, la violation suivante est toujours valable :

Lorsqu’un utilisateur désactivait la personnalisation des annonces sur la recherche Google en recourant au mécanisme mis à sa disposition à partir du bouton « Consulter maintenant », un des cookies publicitaires demeurait stocké sur son ordinateur et continuait de lire des informations à destination du serveur auquel il est rattaché.

La formation restreinte a donc estimé que le mécanisme « d’opposition » mis en place par les sociétés était partiellement défaillant, en violation de l’article 82 de la loi Informatique et Libertés.

Google va-t-il proposer un vrai mécanisme de consentement ?

La CNIL a sanctionné Google sur des obligations qui préexistaient au RGPD (article 82 de la loi Informatique et Libertés, transposition de la directive « ePrivacy »).

Or depuis le 1er octobre 2020, la CNIL a publié ses lignes directrices modificatives ainsi qu’une recommandation portant sur l’usage de cookies et autres traceurs. La CNIL a demandé aux acteurs de se conformer aux règles ainsi clarifiées, en estimant que cette période d’adaptation ne devrait pas dépasser six mois.

Quelques points clés :

Refuser les traceurs doit être aussi aisé que de les accepter. La CNIL recommande que l’interface de recueil du consentement ne comprenne pas seulement un bouton « tout accepter » mais aussi un bouton « tout refuser ».

Les utilisateurs devront être en mesure de retirer leur consentement, facilement, et à tout moment.

On attend donc avec impatience le 1er avril et la mise en conformité de Google afin de pouvoir refuser sa surveillance en 1 clic (et non en 17 clics)... En réalité, même les obligations antérieures au RGPD sont bafouées :

  • Google a contesté son amende de 100 millions d'euros devant le Conseil d'État.
  • Comme on l'a vu, Google vous surveille via le cookie NID, avant même votre consentement mais aussi après votre refus de consentement.
  • Tenter de refuser la surveillance de Google est un parcours du combattant.
  • Il est permis de douter du caractère dissuasif des sanctions de la CNIL, si tant est qu'elle arrive à se faire payer. 100 millions d'euros et 100.000 euros par jour (soit 36 millions d'euros par an), ce n'est pas si cher pour Google.

Google est l'exemple le plus frappant de ce mensonge au consentement, mais le web français est infesté de sites qui bafouent votre vie privée, exemples :

Reste à voir si la CNIL prendra des sanctions dissuasives à partir du 1er avril.

Vos alternatives pour éviter la surveillance de Google

Si l'on se restreint au moteur de recherche Google (l'objet de cet article), vous avez d'autres options comme :

  • DuckDuckGo : un moteur de recherche américain qui ne vous surveille pas. L'interface est épurée, le moteur de recherche est un des choix par défaut sur Safari, et le gros des résultats est basé sur Bing.
  • Qwant : la version française, une interface moins épurée, le gros des résultats est aussi basé sur Bing.
  • Ecosia : la version allemande, Ecosia reverse 80% de ses bénéfices à des associations à but non lucratif qui œuvrent au programme de reforestation présent essentiellement dans les pays du sud. Ecosia est aussi principalement basé sur Bing.
  • Startpage : la version hollandaise, l'interface est épurée et les résultats sont ceux de Google. Du coup, c'est mon choix (les résultats de Google sont souvent bien plus pertinents que ceux de Bing). Startpage est devenu controversé depuis son rachat en 2019 par une société ayant des participations dans l'adtech (vous pouvez vous faire votre propre opinion en lisant cet article).

Il est intéressant de lire pourquoi Google fournit ses résultats de recherche à Startpage :

Why does Google let Startpage access their search results? Startpage.com has a contract with Google that allows us to use their official "Syndicated Web Search" feed, so we have to pay them to get those results.

À la différence de Bing qui fournit ses résultats à de nombreux méta-moteurs (DuckDuckGo, Qwant, Ecosia...), Google est avare de ses résultats de recherche. Startpage semble être le seul à y avoir accès, pour combien de temps ?