Google fait face à une nouvelle plainte de confidentialité en Europe concernant des publicités qu’il intègre dans son service de messagerie Gmail sous le couvert d’e-mails.

Le groupe de défense de la vie privée noyb a déposé une plainte auprès de la CNIL, l’organisme français de protection des données, affirmant que le géant de la technologie publicitaire avait violé la directive ePrivacy de l’Union européenne sur le marketing direct en n’obtenant pas le consentement des utilisateurs de Gmail pour les publicités affichées dans leurs boîtes de réception. , en plus des e-mails promotionnels qu’ils ont effectivement enregistrés.

La plainte de Noyb cite la décision de la Haute Cour de l’UE de l’année dernière, dans une affaire distincte concernant l’utilisation du courrier électronique à des fins de marketing direct, qui, selon elle, indiquait clairement que les publicités affichées dans les boîtes de réception des utilisateurs constituaient « l’utilisation du courrier électronique à des fins de marketing direct » – qui, selon les règles ePrivacy, nécessite le consentement de l’utilisateur. (Les e-mails publicitaires Gmail ne se distinguent des vrais e-mails avec lesquels l’utilisateur s’est enregistré que par l’inclusion de l’étiquette « publicité » et l’absence d’horodatage.)

La plainte affirme que les utilisateurs de Gmail n’acceptent pas le spam avec les annonces Google – notant que, sous ePrivacy, le consentement doit être obtenu avant que les annonces ne soient affichées dans leur boîte de réception.

noyb fait également valoir que les exceptions prévues dans la législation européenne pertinente ne s’appliquent pas ici car les e-mails publicitaires de Google ne sont pas utilisés pour le marketing direct de produits similaires pour lesquels le consentement a été obtenu précédemment.

« C’est assez simple. Le spam est un e-mail commercial envoyé sans consentement. Et c’est illégal. Le spam ne devient pas légal simplement parce qu’il est créé par un fournisseur de messagerie », a ajouté Romain Robert, avocat chez noyb, dans un communiqué.

Google a été contacté pour commenter la plainte.

La CNIL française a été le régulateur actif de Google sur les questions de confidentialité, tirant parti de la compétence qu’elle peut fournir dans le cadre de ePrivacy – qui, contrairement au Règlement général sur la protection des données, n’exige pas que les plaintes transfrontalières soient acheminées via la principale DPA (dans le cas de Google, la Commission de protection des données) – en évitant les obstacles GDPR qui ont ralenti l’application de la vie privée contre Big Tech.

En décembre 2020, la CNIL a infligé une amende de 120 millions de dollars à Google pour avoir déposé un cookie de suivi sans consentement, après avoir découvert qu’il avait enfreint les règles de confidentialité électronique. Cela a été suivi d’une autre lourde amende – 170 millions de dollars – en janvier pour un schéma sombre que Google a découvert dans son flux de consentement aux cookies.

L’application française d’ePrivacy a rapidement conduit Google à annoncer une bannière de consentement aux cookies mise à jour en Europe, qui offrait enfin aux utilisateurs l’option de premier plan pour refuser tout suivi, ce qui suggère que l’application stricte des lois défendant les droits et libertés des internautes pourrait faire face au pouvoir de Grande technologie.

La CNIL a également réussi à gifler Google avec une application précoce du GDPR, en 2019, avant un changement juridique qui a placé les utilisateurs de l’UE de l’entreprise sous la juridiction de sa filiale irlandaise (plutôt que de sa société mère américaine) – garantissant ainsi que les plaintes GDPR ultérieures contre Google ont été acheminées à travers l’Irlande.

Par conséquent, la plupart des applications du RGPD sur les principales plaintes contre Google, telles que la légalité de sa technologie publicitaire (une enquête officielle ouverte en mai 2019) ; ou ses pratiques de localisation (sous enquête en Irlande depuis février 2020) – reste floue alors que les procédures strictes du régulateur irlandais se poursuivent. Mais les décisions doivent finir par couler – en mois ou en années.

Il sera intéressant de voir ce qui vient en premier : la décision de la CNIL française sur cette nouvelle plainte noyb contre le spam publicitaire Gmail de Google (déposée en août 2022) – ou la décision finale de l’Irlande sur l’adtech ou le suivi de localisation de Google.

Pendant ce temps, noyb a supprimé une série d’autres plaintes stratégiques contre Big Tech en ciblant les utilisateurs b2b de Google Analytics et Facebook Connect dans toute l’UE – ce qui a conduit à un certain nombre de conclusions d’infraction et d’avertissements de la DPA contre l’utilisation du logiciel d’analyse de Google, avec le chien de garde français publiant des directives le mois dernier juin qui avertissait les utilisateurs de la nécessité de mettre en œuvre des garanties supplémentaires pour garantir que leur mise en œuvre est conforme aux exigences du RGPD sur les transferts de données hors bloc ou le passage à une alternative appropriée (non Google).

Facebook a également une décision majeure sur une plainte de longue date concernant les exportations de données de l’UE qui a été initialement déposée par le président du noyb – bien avant qu’il ne fonde un groupe de défense de la vie privée.