En témoigne le tout nouveau service Google Adwords Newsletter qui permet, au travers d’une publicité classique, d’inviter les utilisateurs du moteur de recherche à introduire leur adresse email pour s’inscrire à la Newsletter de l’annonceur (voir copie d’écran ci-jointe).
Assurément, il s’agit là d’une innovation remarquablement pratique d’un point de vue commercial, puisque l’inscription à la newsletter se fait directement depuis le moteur de recherche. Google a même tellement simplifié les choses que l’adresse email de l’usager est préremplie dans le champ d’inscription à la Newsletter, pourvu que celui-ci soit connecté à son compte Google.
De la sorte l’utilisateur n’a qu’un bouton sur lequel cliquer pour valider son inscription !
Voilà pour l’innovation…
Mais, reste entière la question de la légalité de ce service en particulier sur le terrain informatique et libertés. Trois problèmes viennent en réalité à se poser.
I – L’absence de mentions légales
Le premier problème tient au respect des mentions légales imposées par l’article 32 de la loi informatique et libertés. En effet, lors de toute collecte, le responsable du traitement a l’obligation d’informer les personnes dont les données sont traitées d’une série de mentions obligatoires, telles que :
1° l’identité du responsable du traitement et, le cas échéant, celle de son représentant ;
2° la finalité poursuivie par le traitement auquel les données sont destinées ;
3° Le caractère obligatoire ou facultatif des réponses ;
4° Les conséquences éventuelles, à son égard, d’un défaut de réponse ;
5° Les destinataires ou catégories de destinataires des données ;
6° Les droits des personnes à l’égard des traitements de données ;
7° Le cas échéant, les transferts de données à caractère personnel envisagés à destination d’un État non membre de la Communauté européenne.
Or, en l’espèce, même si l’on clique sur le bouton « confidentialité » ces précisions sont inexistantes. N’apparaissent, ni la mention du responsable du traitement, ni la finalité exacte du traitement (est-ce une finalité de prospection commerciale, ou est-ce une finalité d’information uniquement ?), ni les destinataires des données et encore moins les droits dont bénéficient les personnes au titre de la loi du 6 janvier 1978. En d’autres termes, rien n’est dit !
D’un point de vue juridique cela est assez problématique pour le responsable du traitement, puisque le fait de ne pas respecter ces dispositions est passible d’une contravention pénale de 1.500€ d’amende par page affichée sans mention (art. R 625-10 du Code pénal) !
II – Cette collecte est-elle loyale ?
Un second problème tient au fait que le formulaire d’inscription est prérempli avec l’email de l’utilisateur (ce qui a été notre cas, en connexion avec notre compte Google). Or, l’article 6 de la loi pose plusieurs règles de droit qui risquent de contrarier cette fonctionnalité, précisant que :
Un traitement ne peut porter que sur des données à caractère personnel qui satisfont aux conditions suivantes :
1° Les données sont collectées et traitées de manière loyale et licite ;
2° Elles sont collectées pour des finalités déterminées, explicites et légitimes et ne sont pas traitées ultérieurement de manière incompatible avec ces finalités (…)
Le point principal de discussion tient au fait que l’adresse email est initialement collectée afin de permettre de se connecter à l’un des services Google (Gmail par exemple). Or, dans notre cas, elle est détournée de sa finalité initiale pour permettre le pré-remplissage du formulaire d’inscription. L’article 6, 2° ne semble donc pas ici respecté. On se demande donc si le procédé de collecte est vraiment loyal au sens de la loi.
De manière générale, le procédé de pré-remplissage de formulaire ou encore de case à cocher est assez mal vu par la CNIL en raison du fait qu’il ne permet pas de traduire parfaitement le consentement des personnes au traitement de leurs données personnelles. La règle de droit posée par l’article 7 de la loi impose qu’un « traitement de données à caractère personnel doit avoir reçu le consentement de la personne concernée« . Or, force est de constater ici que l’inscription peut être faite par erreur ou mauvaise manipulation. En outre, aucune procédure de validation de l’inscription à la newsletter ne semble avoir été mise en place par Google, alors que ceux-ci sont généralement prévus par généralement par les grands fournisseurs de services de newsletter comme Aweber ou Mailchimp qui ont recours à une procédure de double opt-in qui permet de s’assurer que le titulaire de l’adresse email valide son inscription (par un clic sur un lien ou un renvoi d’email). Est-ce que ce sera implémenté côté annonceur ?
III – La sécurité du traitement soulève des interrogations
J’ai eu l’occasion de discuter de ce point hier avec les référenceurs de Woptimo, une agence SEO basée en région parisienne, qui relevaient justement cette problématique de sécurité du traitement. D’un point de vue juridique, en effet, l’article 34 de la loi impose au responsable de :
« prendre toutes précautions utiles, au regard de la nature des données et des risques présentés par le traitement, pour préserver la sécurité des données et, notamment, empêcher qu’elles soient déformées, endommagées, ou que des tiers non autorisés y aient accès ».
Or, sans processus spécifique de validation, il est assez simple d’injecter des centaines de milliers d’adresses email dans le formulaire d’inscription et de faire abonner des tiers à leur insu… Vous n’avez pas apprécié vos cadeaux de Noël, il ne reste plus qu’à inscrire vos beaux parents à des newsletter diverses et variées, dont on laissera les subtilités du contenu à votre imagination…
En fait l’on se demande comment se nommerait le jeu qui consisterait à inscrire ses concurrents, des opposants, des personnes avec qui l’on est en indélicatesse à un paquet de newsletters ici et là… Google Newsletter Bombing ?
Joyeuses fêtes 😉