Google a été sanctionné de 60 millions de dollars australiens (environ 40 millions de dollars et plus) en Australie pour les paramètres Android qu’il avait appliqués, datant d’environ cinq ans, qui ont été trouvés – dans un 2021 décision de justice — d’avoir induit les consommateurs en erreur au sujet de sa collecte de données de localisation.
La Commission australienne de la concurrence et de la consommation (ACCC) a engagé des poursuites contre Google et sa filiale australienne en octobre 2019, poursuivant en justice le géant de la technologie pour avoir fait des déclarations trompeuses aux consommateurs sur la collecte et l’utilisation de leurs données de localisation personnelles sur les téléphones Android, entre janvier 2017 et décembre 2018.
Dans Avril 2021 le tribunal a conclu que Google avait enfreint la loi australienne sur la consommation lorsqu’il a déclaré à certains utilisateurs d’Android que le paramètre « Historique de localisation » était le seul paramètre de compte Google affectant la collecte, la conservation et l’utilisation de données personnellement identifiables sur leur emplacement.
En réalité, un autre paramètre – appelé « Activité Web et app » – a également permis à Google de récupérer les données de localisation des utilisateurs d’Android et cela a été activé par défaut, comme l’ACCC l’a noté dans un communiqué de presse Aujourd’hui. Aka, un classique motif sombre. (En fait, Google a déployé des motifs sombres imbriqués, au pluriel, comme nous le détaillons ci-dessous.)
Le régulateur estime que les utilisateurs d’environ 1,3 million de comptes Google en Australie ont peut-être consulté un écran jugé par la Cour comme ayant enfreint la loi sur la consommation.
« Cette pénalité importante imposée aujourd’hui par la Cour envoie un message fort aux plateformes numériques et aux autres entreprises, grandes et petites, qu’elles ne doivent pas induire les consommateurs en erreur sur la façon dont leurs données sont collectées et utilisées », a déclaré la présidente de l’ACCC, Gina Cass-Gottlieb, dans un communiqué.
« Google, l’une des plus grandes entreprises au monde, a pu conserver les données de localisation collectées via le paramètre ‘Activité Web & App’ et que les données conservées pouvaient être utilisées par Google pour cibler les annonces sur certains consommateurs, même si le paramètre ‘Historique de localisation’ de ces consommateurs était désactivé. »
« Les données de localisation personnelles sont sensibles et importantes pour certains consommateurs, et certains des utilisateurs qui ont vu les représentations peuvent avoir fait des choix différents concernant la collecte, le stockage et l’utilisation de leurs données de localisation si les représentations trompeuses n’avaient pas été faites par Google », a-t-elle ajouté.
Selon l’ACCC, Google a pris des mesures pour corriger la conduite contraire avant le 20 décembre 2018, ce qui signifie que les consommateurs du pays ne voyaient plus les écrans trompeurs.
Au moment de la décision du tribunal l’année dernière, Google a déclaré qu’il n’était pas d’accord avec les conclusions et qu’il envisageait un appel. Mais, en l’occurrence, il a décidé de prendre les grumeaux.
(Celles-ci ne sont pas aussi douloureuses qu’elles auraient pu l’être si les infractions avaient eu lieu plus récemment: L’ACCC note que la majorité des comportements sanctionnés ont eu lieu avant septembre 2018, c’est-à-dire avant que la peine maximale pour les infractions à la Loi sur la consommation ne soit considérablement augmentée – de 1,1 million de dollars par violation à – depuis lors – le plus élevé des montants de 10 millions de dollars, 3x la valeur de tout avantage obtenu ou, si la valeur ne peut être déterminée, 10% du chiffre d’affaires.)
La Cour a également ordonné à Google de s’assurer que ses politiques comprennent un engagement de conformité et des exigences selon lesquelles il doit former certains membres du personnel à la loi sur la consommation du pays, ainsi que de payer une contribution aux coûts de l’ACCC.
Google a été contacté pour commenter la sanction. Un porte-parole de l’entreprise nous a envoyé cette déclaration :
Nous pouvons confirmer que nous avons accepté de régler la question concernant la conduite historique de 2017 à 2018. Nous avons investi massivement pour rendre les informations de localisation simples à gérer et faciles à comprendre grâce à des outils inédits dans l’industrie, tels que les contrôles de suppression automatique, tout en minimisant considérablement la quantité de données stockées. Comme nous l’avons démontré, nous nous engageons à effectuer des mises à jour continues qui donnent aux utilisateurs le contrôle et la transparence, tout en fournissant les produits les plus utiles possibles.
Motifs sombres à l’intérieur de motifs sombres
Les ACCC communiqué de presse comprend des captures d’écran montrant des notifications Google aux utilisateurs d’Android que le tribunal a jugées trompeuses – qui comprennent trois versions de l’écran de paramètre Web et Activité de Google montrées aux consommateurs qui créent un compte Google sur leur appareil et qui ne mentionnent pas du tout le mot « emplacement ».
Au lieu de cela, sur l’un d’eux – qui est apparu entre le 30 avril 2018 et le 19 décembre 2018 – Google indique aux consommateurs que le paramètre « enregistre vos recherches, l’historique de navigation Chrome et l’activité des sites et applications qui utilisent les services Google », avant de les inciter à conserver une option présélectionnée pour « save my Web & Activity to my Google account » (c’est-à-dire, optez pour le suivi de Google) en suggérant: « Cela vous donne de meilleurs résultats de recherche, des suggestions et une personnalisation sur l’ensemble des services Google ». Mais nulle part il n’explique que l’utilisateur accepte d’être suivi de l’emplacement.
Si les utilisateurs d’Android choisissaient d’essayer de désactiver « Historique des positions » – c’est-à-dire via un paramètre totalement séparé qui ne leur permettait pas réellement d’empêcher le suivi de localisation de Google – ils pourraient également voir une fenêtre contextuelle déroutante interrogeant leur décision de « Suspendre l’historique des positions? », comme l’a dit Google, les avertissant que la décision « limiterait la fonctionnalité de certains produits Google au fil du temps ».
Il est difficile de savoir quel était même le but de cela, car le paramètre n’a pas permis aux consommateurs d’empêcher entièrement Google d’espionner leur emplacement, donc probablement il était principalement là pour diffuser FUD.
Le texte de cette notification se termine par une autre ligne déroutante – disant à l’utilisateur de « se souvenir, la pause de ce paramètre ne supprime aucune activité précédente » – et les pointant vers encore plus de paramètres où Google suggère qu’ils pourraient « afficher et gérer ces informations dans votre carte historique des positions ». Cela était probablement destiné à les envoyer dans un trou de lapin inutile – tout en éloignant leur attention du paramètre Web & Activité où Google avait caché un autre paramètre de suivi de localisation.
D’autres versions du paramètre Web & Activity dont le tribunal a conclu qu’elles induisaient en erreur les utilisateurs d’Android entre le début de 2017 et la fin de 2018, en inclut une qui contient un Cinq les actions possibles qu’un utilisateur pourrait prendre – un excès de choix évidemment destiné à les inciter à laisser le paramètre « activé » tel quel, car il est si radicalement flou ce que signifie tout ce qui est disponible à l’écran.
« Si vous utilisez plus d’un compte en même temps, certaines données peuvent être enregistrées dans votre compte par défaut. En savoir plus sur support.google.com », exécute un élément important des petits caractères cryptiques de Google – sans réellement créer un lien hypertexte vers l’URL en question pour envoyer le consommateur là où il pourrait réellement « en apprendre plus » (ou, eh bien, réaliser rapidement qu’il n’y a pas grand-chose à apprendre et certainement pas de commutateur « off » là-bas).
Ce morceau de petits caractères semble principalement destiné à empêcher les consommateurs de lire le descriptio réeln de la fonction du paramètre Web & Activité – un paramètre qui, rappelez-vous, est par défaut « activé » – puisque cette information très saillante est enfouie en dessous (et au-dessus d’une case à cocher plus accrocheuse). Mais même ici, Google n’est pas clair: encore une fois, il n’utilise pas du tout le mot « emplacement »; il n’y a qu’une référence indirecte à « Maps » enfouie dans une liste qui met en avant des « recherches plus rapides » et des « expériences personnalisées » pour inciter les consommateurs à accepter.
En utilisant le nom de son produit Maps populaire comme remplaçant de l’emplacement, Google semble suggérer que les utilisateurs d’Android ont besoin que ce paramètre soit activé s’ils souhaitent utiliser Maps – plutôt que d’indiquer clairement que le paramètre fait référence à sa capacité à suivre leur emplacement.
Le même écran de réglage aussi comprend une case à cocher pré-cochée à côté d’encore plus de texte qui indique: « Inclure l’historique de navigation et l’activité de Chrome à partir de sites Web et d’applications qui utilisent les services Google » – donc Google semble dégrouper les paramètres de suivi, probablement comme sauvegarde au cas où l’un de ces paramètres pré-cochés serait décoché, ce qui signifie qu’il peut au moins récupérer des données via l’autre.
Après cela, il y a plus de petits caractères, logés sous la rubrique fade « données de cet appareil », qui se lit comme suit: « Contrôler les rapports d’activité de l’application à partir de cet appareil ». Cependant, ce texte n’est pas instantanément lié visuellement à un paramètre avec lequel l’utilisateur peut interagir – de sorte que quiconque y jette un coup d’œil peut supposer qu’il ne les dirige pas du tout vers une option et la sauter.
Airgapped ci-dessous, vers le bas de l’écran, est une option hyperliée à « GÉRER L’ACTIVITÉ ». Ce texte est plus audacieux – étant en MAJUSCULES. Attire donc l’œil. Mais qu’est-ce que c’est ? Pourquoi l’utilisateur doit-il patauger dans un nouvel enfer de sous-menu Google pour essayer de désactiver le suivi, comme cette option semble l’impliquer? Ils peuvent sûrement simplement basculer le commutateur « on » en haut de l’écran des paramètres pour le faire …
Bien sûr, tout ce qui est cuit dans ce gâteau de couche de motif sombre éloigne le consommateur de toute compréhension de ce qui se passe réellement avec ses données afin qu’il abandonne et laisse le suivi par défaut. Vraiment une masterclass dans le design manipulateur trompeur.
Un gros redémarrage ?
Alors que la déclaration de Google aujourd’hui sur la sanction de l’ACCC cherche à impliquer que tous les éléments trompeurs de suivi de localisation appartiennent au passé, la société fait face à une enquête en cours sur les mêmes pratiques dans l’Union européenne – ouverte depuis Février 2020 — où il pourrait être tenu de payer une amende plus importante s’il s’avère qu’il a enfreint le règlement général sur la protection des données de l’Union (car les sanctions peuvent atteindre 4 % du chiffre d’affaires annuel mondial).
Les organismes de surveillance des consommateurs de l’UE ont en fait déposé des plaintes concernant le suivi trompeur de l’emplacement de Google dans Novembre 2018. Google pourra donc toujours prétendre qu’il est passé à autre chose – quel que soit le résultat.
Un projet de décision de la DPA irlandaise, qui dirige l’enquête, est attendu cette année – bien qu’une décision finale puisse être repoussée à 2023 car elle doit être examinée par le réseau d’APD de l’UE et un accord parvient sur toute application.
Mais ce n’est pas tout… plus tôt cet été, les groupes européens de défense des droits des consommateurs ont déposé une nouvelle série de plaintes contre Google – accusant le géant de la publicité de conception trompeuse autour du processus de création de compte qui, selon eux, incite les utilisateurs à accepter un traitement étendu et invasif de leurs données.
Les plaintes soulignent combien de « clics » supplémentaires sont requis par Google pour permettre aux utilisateurs de désactiver son suivi plutôt que de le traiter les clés de leurs données… ainsi plus ça change Droite?
Le rythme effréné des forces de l’ordre européennes en matière de protection de la vie privée suggère que Google peut s’attendre à plusieurs années de grâce avant que toute ordonnance corrective n’atterrisse – laissant les consommateurs exposés dans l’intervalle.
Mais il y a une réforme plus difficile à l’horizon: les législateurs de l’UE récemment convenu inclure une interdiction pour les plateformes en ligne de concevoir et de déployer des interfaces trompeuses/manipulatrices et/ou déroutantes dans une prochaine mise à jour phare du règlement numérique du bloc.
Le Loi sur les services numériques (DSA) est généralement destiné à définir la responsabilité et la responsabilisation en matière de services numériques en pilotant la gouvernance.
En ce qui concerne les modèles sombres, beaucoup dépendra des spécificités du texte de la DSA et de son interprétation, clairement – et il peut encore y avoir une marge de manœuvre pour que les puissantes plates-formes trouvent des moyens d’utiliser des pratiques requinniques pour priver les consommateurs de leurs droits et de leur libre arbitre. Mais une caractéristique clé de la loi est qu’elle implique un rôle actif pour la Commission européenne dans l’application (contre les grandes plates-formes – appelées VLOP).
Il s’agit notamment de donner à l’exécutif de l’UE les moyens d’intervenir et de publier des orientations sur les meilleures pratiques dans des domaines tels que la conception d’interfaces. Combiné à une nouvelle capacité à montrer les dents contre les récidivistes – car il est habilité à frapper les VLOP avec des amendes coûteuses s’ils enfreignent les règles de la DSA – de sorte qu’une partie de la réglementation de l’UE axée sur le consommateur pourrait, soudainement, devenir un peu plus difficile à ignorer. (La DSA commencera à postuler à partir de l’année prochaine.)
Les sanctions en cas de violation de la DSA peuvent aller jusqu’à 6 % du chiffre d’affaires annuel mondial. Ainsi, le coût et le risque de voler les données des gens augmentent certainement. Reste à savoir si cela suffira à faire réfléchir les géants du suivi – ou, ce qui est vraiment nécessaire, à forcer une réforme significative des modèles commerciaux hostiles à la vie privée.