Google aurait triché pour voler les données personnelles des utilisateurs sans leur consentement, malgré la mise en place du RGPD. Le navigateur concurrent Brave vient de déposer une plainte auprès de la Cnil irlandaise : selon Brave, Google utiliserait des pages web cachées pour assurer une collecte secrète et ainsi mieux cibler les annonces, même lorsque l'utilisateur refuse le ciblage.

Google a-t-il tenté de contourner la Loi pour collecter quand même les données des utilisateurs qui le refusent depuis la mise en place du RGPD ? C'est en tout cas ce que pense le navigateur concurrent Brave, axé sur la vie privée. La firme a déposé une plainte auprès de la Cnil irlandaise – pays où Google base ses opérations en Europe. La firme explique dans un post de blog avoir apporté les preuves que l'un de ses collaborateurs, Dr Johnny Ryan, a vu ses données personnelles collectées et utilisées par la régie publicitaire DoubleClick/Authorized Buyers.

Google a-t-il été pris en flagrant délit de triche pour contourner le RGPD ?

Au delà du cas de Dr Johnny Ryan, Google aurait mis en place un système automatisé qui lui permet de contourner le règlement européen RGPD qui est particulièrement protecteur pour les internautes européens. Deux accusations qui, si ils se confirment, exposent Google à une très lourde amende : le RGPD prévoit en effet que celle-ci peut atteindre jusqu'à 4% de son chiffre d'affaires – ce qui dans le cas de Google représente la bagatelle de 5 milliards d'euros. Alors de quoi est-il question exactement ?

Brave explique que le problème vient du système publicitaire de la firme : “le système de publicités ‘DoubleClick/Authorized Buyers' est actif sur plus de 8,4 million de sites web. Il diffuse les données personnelles sur les visiteurs de ces sites à plus de 2000 entreprises, des centaines de milliards de fois chaque jour”. Le Dr Ryan ajoute : “les preuves que nous avons transmises à la Commission de Protection des Données irlandaises prouvent que Google a fait fuiter mes données protégées à un nombre inconnu d'entreprises”.

Il ajoute qu'il n'est pas possible savoir ce que ces entreprises en on fait, car “Google a perdu le contrôle de mes données lorsqu'elles ont été transmises. Leur politique [de protection des données] n'offre pas de protection”. En fait l'enquête de Brave met au jour un mécanisme opaque qui permet à Google de contourner ses propres outils mis en place en conformité avec le RGPD : “Google prétend empêcher les nombreuses entreprises qui utilisent le système d'enchères publicitaires en temps réel (RTB) qui reçoit des données sensibles sur les internautes, de combiner leurs données dans des profils”.

Google “a également annoncé avoir arrêté de partager des pseudo-identifiants susceptibles d'aider ces entreprises à identifier tous facilement un individu, apparemment en réponse à la mise en place du RGPD. Mais en fait, les preuves en possession de Brave révèlent que Google n'a pas seulement autorisé un tiers, mais de nombreuses entités à croiser ces données avec les identifiants Google”. Au coeur de cette collecte “occulte”, il y a les “push pages” : des pages web cachées qui permettent d'assurer cette collecte dans la plus grande discrétion.

Avec force d'exemples, dont une fameuse “push page” que l'on peut télécharger, Brave détaille le fonctionnement de ce mécanisme. Tout indique selon la firme que Google a mis en place un système pour contourner ses obligations en matière de protection des données en Europe. Google a rapidement réagi auprès de plusieurs sources, dont Les Echos, pour démentir toute infraction des règlements européens : “Nous ne diffusons pas de publicités personnalisées ni ne partageons de demandes d'enchères sans le consentement de l'utilisateur”.

Lire également : Non, Facebook et Google n'espionnent pas vos conversations pour vous montrer de la pub

Google affirme que cette pratique a un nom, le “cookie matching” et qu'elle est respectueuse de la vie privée. Reste que l'Europe a déjà sévi à de nombreuses – et couteuses – reprises. Et que le risque d'une nouvelle lourde amende semble ici tout sauf virtuel… On attend avec impatience l'avis de la Cnil irlandaise.

Source : Brave