Google Adwords Newsletter : un service licite ?

• Thiébaut Devergranne

Les révolutions marketing ont la destinée singulière et chronique d’être prises dans l’étau de l’innovation et de la légalité.SoinHomme

En témoigne le tout nouveau service Google Adwords Newsletter qui permet, au travers d’une publicité classique, d’inviter les utilisateurs du moteur de recherche à introduire leur adresse email pour s’inscrire à la Newsletter de l’annonceur (voir copie d’écran ci-jointe).

Assurément, il s’agit là d’une innovation remarquablement pratique d’un point de vue commercial, puisque l’inscription à la newsletter se fait directement depuis le moteur de recherche. Google a même tellement simplifié les choses que l’adresse email de l’usager est préremplie dans le champ d’inscription à la Newsletter, pourvu que celui-ci soit connecté à son compte Google.

De la sorte l’utilisateur n’a qu’un bouton sur lequel cliquer pour valider son inscription !

Voilà pour l’innovation…

Mais, reste entière la question de la légalité de ce service en particulier sur le terrain informatique et libertés. Trois problèmes viennent en réalité à se poser.

I – L’absence de mentions légales

Le premier problème tient au respect des mentions légales imposées par l’article 32 de la loi informatique et libertés. En effet, lors de toute collecte, le responsable du traitement a l’obligation d’informer les personnes dont les données sont traitées d’une série de mentions obligatoires, telles que :

1° l’identité du responsable du traitement et, le cas échéant, celle de son représentant ;

2° la finalité poursuivie par le traitement auquel les données sont destinées ;

3° Le caractère obligatoire ou facultatif des réponses ;

4° Les conséquences éventuelles, à son égard, d’un défaut de réponse ;

5° Les destinataires ou catégories de destinataires des données ;

6° Les droits des personnes à l’égard des traitements de données ;

7° Le cas échéant, les transferts de données à caractère personnel envisagés à destination d’un État non membre de la Communauté européenne.

Or, en l’espèce, même si l’on clique sur le bouton « confidentialité » ces précisions sont inexistantes. N’apparaissent, ni la mention du responsable du traitement, ni la finalité exacte du traitement (est-ce une finalité de prospection commerciale, ou est-ce une finalité d’information uniquement ?), ni les destinataires des données et encore moins les droits dont bénéficient les personnes au titre de la loi du 6 janvier 1978. En d’autres termes, rien n’est dit !

D’un point de vue juridique cela est assez problématique pour le responsable du traitement, puisque le fait de ne pas respecter ces dispositions est passible d’une contravention pénale de 1.500€ d’amende par page affichée sans mention (art. R 625-10 du Code pénal) !

II – Cette collecte est-elle loyale ?

Un second problème tient au fait que le formulaire d’inscription est prérempli avec l’email de l’utilisateur (ce qui a été notre cas, en connexion avec notre compte Google). Or, l’article 6 de la loi pose plusieurs règles de droit qui risquent de contrarier cette fonctionnalité, précisant que :

Un traitement ne peut porter que sur des données à caractère personnel qui satisfont aux conditions suivantes :

1° Les données sont collectées et traitées de manière loyale et licite ;

2° Elles sont collectées pour des finalités déterminées, explicites et légitimes et ne sont pas traitées ultérieurement de manière incompatible avec ces finalités (…)

Le point principal de discussion tient au fait que l’adresse email est initialement collectée afin de permettre de se connecter à l’un des services Google (Gmail par exemple). Or, dans notre cas, elle est détournée de sa finalité initiale pour permettre le pré-remplissage du formulaire d’inscription. L’article 6, 2° ne semble donc pas ici respecté. On se demande donc si le procédé de collecte est vraiment loyal au sens de la loi.

De manière générale, le procédé de pré-remplissage de formulaire ou encore de case à cocher est assez mal vu par la CNIL en raison du fait qu’il ne permet pas de traduire parfaitement le consentement des personnes au traitement de leurs données personnelles. La règle de droit posée par l’article 7 de la loi impose qu’un « traitement de données à caractère personnel doit avoir reçu le consentement de la personne concernée« . Or, force est de constater ici que l’inscription peut être faite par erreur ou mauvaise manipulation. En outre, aucune procédure de validation de l’inscription à la newsletter ne semble avoir été mise en place par Google, alors que ceux-ci sont généralement prévus par généralement par les grands fournisseurs de services de newsletter comme Aweber ou Mailchimp qui ont recours à une procédure de double opt-in qui permet de s’assurer que le titulaire de l’adresse email valide son inscription (par un clic sur un lien ou un renvoi d’email). Est-ce que ce sera implémenté côté annonceur ?

III – La sécurité du traitement soulève des interrogations

J’ai eu l’occasion de discuter de ce point hier avec les référenceurs de Woptimo, une agence SEO basée en région parisienne, qui relevaient justement cette problématique de sécurité du traitement. D’un point de vue juridique, en effet, l’article 34 de la loi impose au responsable de :

« prendre toutes précautions utiles, au regard de la nature des données et des risques présentés par le traitement, pour préserver la sécurité des données et, notamment, empêcher qu’elles soient déformées, endommagées, ou que des tiers non autorisés y aient accès ».

Or, sans processus spécifique de validation, il est assez simple d’injecter des centaines de milliers d’adresses email dans le formulaire d’inscription et de faire abonner des tiers à leur insu… Vous n’avez pas apprécié vos cadeaux de Noël, il ne reste plus qu’à inscrire vos beaux parents à des newsletter diverses et variées, dont on laissera les subtilités du contenu à votre imagination…

En fait l’on se demande comment se nommerait le jeu qui consisterait à inscrire ses concurrents, des opposants, des personnes avec qui l’on est en indélicatesse à un paquet de newsletters ici et là… Google Newsletter Bombing ?

Joyeuses fêtes 😉


A lire également...

Commentaires...

Georges BOUM

Bonjour,

Les questions que vous soulevez sont on ne peut plus pertinentes. Mais la question qui me vient à c'est comment soumettre à la réglementation française une SSII dont les serveurs sont hébergés à l'étranger, je veux dire hors d'Europe?

"En France, les garanties de respect de la vie privée apportées par la CNIL ne sont pas applicables à des services dont les serveurs sont situés hors du territoire national. Le refus de Google de se soumettre aux lois locales crée donc une extension de fait de la juridiction américaine"... Extrait Wikipédia

Antoon

Je m'étais jamais posé la question concernant la légalité de ce nouveau système d'extensions Adwords. C'est des questions qui méritent d'être posé & je suis tout à fait d'accord avec toi sur les points que tu cites (surtout celui de la collecte loyal).

Antoon

Dominique CIUPA

Tout d'abord, il convient de rester prudent sur le 3° point concernant la sécurité des traitements. Rien ne prouve, en l'état, que Google n'a pas mis en place des mesures de protections. Je me suis trouvé être le mois dernier sur un autre continent et consulter les statistiques d'un service "Google Analytics" que j'utilise. Le service Google a identifié que mon adresse IP n'était pas européenne et m'a posé des questions additionnelles avant d'autoriser mon accès. On pourrait de même imaginer qu'il existe un système de contrôle du volume des adresses emails saisies et associées à une même adresse IP, limitant rapidement les effets d'une attaque "GoogleNewlettersBombing". Des mesures de sécurité peuvent être mises en oeuvre sans que l'utilisateur "normal" ne les identifie...

Les besoins de simplicité, d'ergonomie et d'innovation existent. Il ne serait pas bon de s'y opposer au nom de principes abusifs ...

La question posée dans cet article est celle de l'existence et de l'usage de "la clé numérique". L'utilisateur a aujourd'hui besoin d'une clé numérique universelle. Et celle-ci doit être sécurisée par des processus d'authentification forte. Il faut constater, qu'en France, le débat sur cette question n'est pas encore à la hauteur des enjeux ...

Ne faut-il pas poser le sujet à ce niveau ?

Thiébaut Devergranne

La question de l'application territoriale de la loi informatique et libertés est assez simple à résoudre en fait en raison de la présence d'infractions pénales. A partir du moment ou une infraction est réalisée sur le sol français, les tribunaux français sont compétents. Or la majorité des défauts de non-conformité à la loi de 1978 sont en fait des infractions pénales (ex : mentions légales - une contravention - défauts de sécurité, etc.).

Thiébaut Devergranne

Merci pour votre commentaire très pertinent ! Vous soulevez plein de questions ;-)

Pour les mesures de sécurité, effectivement je crois que Google est très avancé de ce côté là pour ses services, en général. Mais en particulier, on ne sait pas ce qu'il en est ici, la vérification qui a été faite est qu'il est possible d'ajouter l'email de quelqu'un à une newsletter sans confirmation. On ne sait pas ce qu'il en est côté annonceur (est-ce que GG impose que cette validation soit faite ?), mais côté Google en tout cas rien n'est prévu techniquement.

Pour la question de l'authentification forte, je dirai simplement que c'est une belle ambition technique ;-)


Les commentaires sont fermés
Thiébaut Devergranne

Thiébaut Devergranne est docteur en droit. Il travaille en droit des nouvelles technologies depuis plus de 15 ans, dont 6 passés au sein des services du Premier Ministre. En savoir plus.

formation RGPD

VOS CGV (gratuit)