Noyb, l’organisation de défense de la vie privée et des données personnelles de l’activiste autrichien Max Schrems, après s’être attaqué à l’identifiant publicitaire d’Apple, l’IDFA, a déposé une plainte auprès de la Commission nationale de l’informatique et des libertés (CNIL) à propos de l’AAID, Identifiant de Publicité pour Android exploité par Google. Comme nous l’avions parié en novembre 2020.

Traçage sans le consentement de l’utilisateur

Le logiciel de Google crée le code AAID à l’insu de l’utilisateur et sans son consentement. Ce numéro d’identification fonctionne comme une plaque d’immatriculation qui identifie de manière unique le téléphone d’un utilisateur et peut être partagé entre les entreprises.

Après sa création, Google et des tiers (comme des fournisseurs d’applications et des annonceurs) peuvent accéder à l’ AAID pour suivre le comportement des utilisateurs, élaborer des préférences de consommation et fournir des publicités personnalisées.

Ce suivi est strictement réglementé par la « loi sur les cookies » de l’UE (article 5, paragraphe 3, de la directive « vie privée et communications électroniques ») et nécessite le consentement éclairé et sans ambiguïté des utilisateurs.

Impossibilité d’effacer l’AAID

Non seulement Google installe l’AAID sans le consentement de l’utilisateur, mais il refuse également aux utilisateurs d’Android la possibilité de le supprimer : ils peuvent uniquement « réinitialiser » l’identifiant et sont obligés de générer un nouvel identifiant de suivi pour remplacer celui qui existe déjà. Ce qui ne supprime pas les données qui ont été collectées auparavant, ni n’arrête le suivi à l’avenir.

Stefano Rossetti, avocat spécialiste de la protection de la vie privée chez noyb.eu, explique:

« Imaginez avoir une poudre colorée, sur vos pieds et vos mains, qui marque chacun de vos pas et chacune de vos actions : tout ce que vous touchez dans l’écosystème mobile. Et vous ne pouvez pas l’enlever – vous pouvez seulement la changer de couleur. C’est ce que représente l’identifiant publicitaire Android : un traceur qui marque chacune de vos actions dans l’écosystème mobile et au-delà. »

La majorité des citoyens européens sont concernés

Il y a actuellement environ 450 millions de téléphones mobiles actifs dans l’Union européenne. Parmi ceux-ci, environ 306 millions utilisent Android. Si l’on considère que la quasi-totalité de ces téléphones Android utilisent le tracker AAID, on peut se faire une idée de l’ampleur de ce suivi.

Prochaines étapes

Puisque cette plainte est fondée sur la directive « vie privée et communications électroniques », l’autorité française peut directement prendre une décision, sans qu’il soit nécessaire de coopérer avec d’autres autorités de protection des données de l’UE comme dans le cadre du GDPR.

Si l’autorité adhère à l’interprétation du plaignant, le montant de la sanction pourrait être substantiel. Cette plainte fait partie d’un projet plus vaste visant à supprimer les identifiants de suivi cachés de l’environnement mobile. Il y a quelques mois, Noyb a déposé des plaintes similaires contre l’autre leader du marché, Apple, pour des raisons similaires.

Avec cette stratégie, Noyb esquive habilement la DPC,l’autorité de protection des données de l’Irlande, dont le rôle est central en Europe, puisqu’elle est responsable de toutes les entreprises étrangères à l’Union européenne, dont le siège social se trouve dans ce pays, soit, pour des raisons fiscales et d’aides, la plupart des multinationales.

Son économie dépendant fortement de ces dernières, on ne peut déplorer que l’absence totale de protection des données personnelles et de la vie privée des  citoyens européens par la DPC, et espérer que l’UE finira par se doter de mesures empêchant un tel dysfonctionnement.