Archives par mot-clé : RGPD

Google Analytics, outil de mesure d’audience le plus utilisé au monde : toujours illégal en Europe ?

Publié le par

Il y a un an, la Cnil mettait en demeure une première société française éditrice d’un site web utilisant Google Analytics, jugé incompatible avec le RGPD quant au transfert des données vers les Etats-Unis. Deux autres sociétés ont été aussi épinglées sur les 101 plaintes de l’association Noyb.

Il y a plus de trois mois, Russell Ketchum (photo de gauche), directeur de Google Analytics, confirmait qu’Universal Analytics sera remplacé 1er juillet 2023 par la version 4 de Google Analytics (GA4), tandis qu’« Universal Analytics 360 » sera, lui, finalement prolongé jusqu’au 1er juillet 2024 (1), soit au-delà du 1er octobre 2023 initialement prévu (2). Quésaco ? Universal Analytics est la version basique et gratuite de l’outil de mesure d’audience le plus utilisé au monde par des sites web et des applications mobiles.

Le transfert des données vers les USA
Google Analytics détient en effet 86,1 % de parts de marché au 7 février 2023 en étant utilisé par 56,5 % de tous les sites web, selon W3Techs, suivi par Facebook Pixel et de bien d’autres analyseurs de trafic (3). « Universal Analytics 360 » est, elle, la version premium payante de Google Analytics destinée principalement aux grandes entreprises. Edition Multimédi@ a demandé à Google si GA4 répondait aux préoccupations des Européens sur la protection de leur vie privée, conformément au règlement général sur la protection des données (RGPD), et notamment aux mises en demeure prononcées par la Cnil en décembre 2021 et en décembre 2022 ? « Nous avons en effet récemment introduit de nouvelles fonctionnalités pour Google Analytics 4 qui permettent par exemple aux sites web de ne pas enregistrer ni stocker les adresses IP via GA4, ou encore de minimiser les données collectées concernant l’utilisateur, ce qui peut ainsi aider à répondre aux préoccupations d’identification des utilisateurs. Cependant, le véritable problème au cœur de tout cela reste les transferts de données entre l’Union européenne et les Etats-Unis qui manquent d’un cadre juridique stable pour les entreprises européennes et américaines », nous a répondu le géant du Net. Et d’ajouter : « Nous considérons que l’Executive Order récent[d’octobre 2022, ndlr] de la Maison Blanche est une étape importante dans ce travail » (4). De quoi rassurer les éditeurs de sites web et d’applis mobiles utilisant Google Analytics et les « Cnil » en Europe qui les surveillent voire les sanctionnent ? Rien n’est moins sûr. Il y a un an en France, le 10 février 2022, la Cnil mettait en demeure la toute première société pour non-respect du RGPD pour l’utilisation de Google Analytics pour mesurer son audience web (5). La Cnil considère implicitement que Google Analytics est ni plus ni moins illégal au regard du RGPD pour deux motifs principaux : les mesures mises en place par Google ne sont pas suffisantes pour exclure la possibilité d’un accès aux données de résidents européens ; les données des internautes européens sont donc transférées illégalement vers les Etats-Unis par le biais de ce même outil. Cette première décision de la Cnil a été publiée il y a un an, mais de façon anonymisée, pour l’exemple (6). Mais il s’agit de l’une des trois sociétés françaises utilisant Google Analytics contre lesquelles l’organisation autrichienne Noyb dirigée par Max Schrems (photo de droite) avait déposé plaintes – parmi un total de 101 plaintes (7) déposées en août 2020 – auprès des « Cnil » européennes, dénonçant des transferts illégaux de données à caractère personnel vers les Etats-Unis.
La Cnil en France avait ainsi été destinataire de trois plaintes à l’encontre de respectivement Decathlon, Auchan et Sephora. Parallèlement, concernant cette fois l’outil Facebook Connect, la Cnil était aussi saisie de trois autres plaintes à l’encontre de Free Mobile, Leroy Merlin et Le Huffington Post. Après sa première décision concernant Google Analytics, la Cnil mettra également en demeure les deux autres sites web mis en cause (parmi Decathlon, Auchan et Sephora). Ce dont se félicitera à nouveau la Noyb le 5 avril 2022 dans un communiqué où sont mises en ligne les deux autres décisions de la Cnil, là aussi anonymisées (8). Ces trois sociétés disposaient d’un délai d’un mois – renouvelable à leur demande – pour se mettre en conformité et justifier cette conformité auprès de la Cnil.
Mais la Cnil n’a pas été la première à épingler les éditeurs de services en ligne qui utilisent Google Analytics. Son homologue autrichienne – la Datenschutzbehörde (DSB) – avait ouvert la voie deux semaines avant dans une décision inédite datée du 22 décembre 2021 et considérée comme « révolutionnaire » par la Noyb (9).

L’Italie, la Grèce mais pas l’Espagne
Ce fut la première fois en Europe que l’utilisation de Google Analytics est considérée comme une violation du RGPD. D’autres décisions ont été prises par d’autres autorités en Europe – la Grèce par décision de l’APD de janvier 2022 (10) et l’Italie par décision de la GPDP de juin 2022 (11) – à l’encontre de l’utilisation de « GA ». En revanche, la « Cnil » espagnole – l’AEDP – n’a pas suivi ni ses homologues européennes ni la CEPD en publiant le 15 décembre 2022 une décision rejetant la plainte de Noyb (12). Ces premières décisions sur les 101 plaintes déposées par Noyb faisaient suite à la décision de 2020 dite « Schrems II » de la Cour de justice de l’Union européenne (CJUE) estiment que l’utilisation des services Internet américains violait le RGPD, car les lois de surveillance américaines exigent que les Google, Facebook et autres Twitter fournissent aux autorités américaines des détails personnels sur leurs utilisateurs, mêmes Européens.

Le spectre de la loi américaine FISA
Par exemple, la loi américaine FISA – Foreign Intelligence Surveillance Act – autorise expressément la NSA – National Security Agency – à collecter les données personnelles des utilisateurs situés hors des Etats-Unis si ces data sont stockées sur des serveurs américains. Autre texte américain, présidentiel celui-ci : l’OE – Executive Order – numéro 12.333 qui renforce les services de renseignement aux Etats-Unis depuis Ronald Reagan et George W. Bush. C’est pour ces raisons que la CJUE avait annulé en 2020 l’accord de transfert « Privacy Shield » (décision « Schrems II » de 2020), après avoir annulé l’accord précédent « Safe Harbor » (décision « Schrems I » de 2015). Cela provoqua une onde de choc pour les GAFAM qui les secouent encore aujourd’hui (13). « Nous nous attendons à ce que des décisions similaires tombent progressivement dans la plupart des Etats membres de l’UE. Nous avons déposé 101 plaintes dans presque tous les Etats membres et les autorités [les « Cnil » européennes, ndlr] ont coordonné la réponse », s’était félicité Max Schrems. Il est prêt à attaquer à nouveau devant la CJUE la nouvelle décision sur le transfert des données « UE-USA » (14) publiée par la Commission européenne le 13 décembre dernier (15). Dans la foulée de la décision de la DSB en Autriche, le Contrôleur européen de la protection des données (CEPD) – regroupant les « Cnil » européennes – avait également rendue une semaine avant une décision commune similaire (16). S’il devait y avoir sanction, le RGPD prévoit qu’elle peut aller jusqu’à 20 millions d’euros ou 4 % du chiffre d’affaires mondial de l’entreprise du Net.
C’est justement parce que Google Analytics est largement utilisé par une écrasante majorité d’éditeurs de services en ligne que la Cnil avait décidé d’anonymiser ses trois décisions. « Il ne paraissait pas utile de citer le nom d’un éditeur de site en particulier, l’usage de cet outil étant très répandu. L’objectif est que l’ensemble des responsables de traitement utilisant cet outil se mette en conformité », justifiait ainsi le gendarme des données personnelles. Il avait d’ailleurs mis en garde tous les éditeurs concernés : « Tous les responsables de traitement utilisant Google Analytics d’une façon similaire à ces organismes doivent considérer dès à présent cette utilisation comme illégale au regard du RGPD. Ils doivent donc se tourner vers un prestataire proposant des garanties suffisantes de conformité ». D’après la Cnil, les trois sociétés mises en demeure avaient établi avec Google des clauses contractuelles types, proposées par défaut. Or ces dernières ne peuvent assurer seules un niveau de protection suffisant en cas de demande d’accès d’autorités étrangères, notamment si cet accès est prévu par des lois locales. En réponse au questionnaire envoyé par la Cnil, Google a indiqué que l’ensemble des données collectées par le biais de Google Analytics était hébergé aux Etats-Unis. Néanmoins, avait mentionné le gendarme français des données personnelles le 7 juin 2022, « Google avait indiqué avoir mis en place des mesures supplémentaires d’ordre juridique, organisationnel et technique, qui ont cependant été jugées insuffisantes pour assurer la protection effective des données personnelles transférées, en particulier contre des demandes d’accès aux données par des services de renseignement états-uniens » (17).
La Cnil avait en outre fait savoir que Google avait indiqué utiliser des mesures de pseudonymisation (18), mais non d’anonymisation (19). « Google propose bien une fonction d’anonymisation des adresses IP, a constaté la Cnil, mais celle-ci n’est pas applicable à tous les transferts. En outre, les éléments fournis par Google ne permettent pas de déterminer si cette anonymisation a lieu avant le transfert aux Etats-Unis ». Autre problème que pose Google Analytics : la réidentification de l’internaute. En effet, la seule utilisation d’identifiants uniques permettant de différencier les individus peut amener à rendre les données identifiables, en particulier lorsqu’elles sont associées à d’autres informations telles que les métadonnées relatives au navigateur et au système d’exploitation.

Data et navigation : le risque de suivi demeure
De plus, l’utilisation de Google Analytics avec d’autres services de Google, notamment marketing, peut amplifier le risque de suivi. « En effet, explique la Cnil, ces services, très utilisés en France, peuvent permettre un recoupement de l’adresse IP et ainsi de retracer l’historique de navigation de la majorité des internautes sur un grand nombre de sites ». Quant au chiffrement de données par Google, il s’est avéré insuffisant car Google procède lui-même au chiffrement des données et a l’obligation d’accorder l’accès ou de fournir les données importées qui sont en sa possession, y compris les clés de chiffrement nécessaires pour les décrypter. @

Charles de Laubier

Protection des données en Europe : pour le CEPD, le groupe Meta ne peut imposer sa loi

Publié le par

Facebook, Instagram et WhatsApp (réseaux sociaux du groupe Meta) ont été épinglés par la « Cnil » irlandaise, la DPC, pour ne pas avoir respecté le règlement européen sur la protection des données (RGPD). Mais faute de consensus avec ses homologues des Vingt-sept, le CEPD a eu le dernier mot.

Par Jade Griffaton et Emma Hanoun, avocates, DJS Avocats

Après cinq ans de procédure, deux sanctions ont été annoncées respectivement les 4 et 19 janvier 2023 pour un total de 395,5 millions d’euros pour le non-respect des mesure imposées par le règlement européen sur la protection des données personnelles (RGPD). Il s’agit de trois amendes infligées à Meta en Irlande par la DPC, la commission de protection des données, à savoir la « Cnil » irlandaise (1). Au coeur du débat : la publicité ciblée pour les utilisateurs des réseaux sociaux du groupe : Facebook (210 millions d’euros d’amende), Instagram (180 millions) et WhatsApp (5,5 millions). Des enquêtes avaient été entreprises après des plaintes de l’organisation autrichienne Noyb (2) pour la protection de la vie privée, fondée par Max Schrems.

Un contexte procédural complexe
La société Meta Ireland est au coeur des discussions depuis plusieurs années. Dès 2021, Facebook fait l’objet d’une fuite de données personnelles de plusieurs millions de ses utilisateurs menant à l’ouverture d’une enquête par l’autorité irlandaise de protection des données. A la suite de l’enquête, Meta a été condamnée le 25 novembre 2022 à une amende de 265 millions d’euros pour avoir violé ses obligations de sécurisation des données (3). En mars 2022, l’autorité irlandaise avait déjà infligé une amende de 17 millions d’euros à Meta (4), qui n’avait pas pu démontrer la mise en place « de mesures techniques et organisationnelles appropriées […] pour protéger les données des utilisateurs » de l’Union européenne (UE). En parallèle, en France, la Cnil a condamné en janvier 2022 l’entreprise Meta à une amende de 60 millions d’euros en raison de l’impossibilité pour les utilisateurs de refuser simplement les cookies (5). En plus de cette amende, la Cnil avait ordonné une injonction sous astreinte de mettre à disposition des internautes français, dans un délai de 3 mois à compter de la notification de la décision, un moyen permettant de refuser les cookies aussi simplement que celui pour les accepter afin de respecter le consentement de chaque utilisateur. Et par deux décisions – respectivement en date du 31 décembre 2022 concernant Facebook et Instagram pour 390 millions d’amendes (6) et du 12 janvier 2023 concernant WhatsApp pour 5,5 millions d’amende (7) –, l’autorité irlandaise a infligé à Meta ces trois amendes totalisant près de 400 millions d’euros pour manquement à plusieurs principes imposés par le RGPD (8) dont le principe de transparence et le principe de licéité des traitements de données à caractère personnel. Ces dernières décisions font suite à de nombreux débats entre les différentes autorités de contrôle européennes que sont les différentes « Cnil » dans les Vingt-sept.
En effet, dans le cadre de la procédure de consultation des autorités de contrôle concernées par l’autorité de contrôle « chef de file » mise en place par l’article 60 du RGPD, en l’occurrence la DPC dans ces procédures « Meta », les projets de décisions préparés en 2021 par l’autorité irlandaise ont été soumis aux régulateurs homologues de l’UE qui ont soulevé un certain nombre d’objections. Face à l’absence de consensus, l’autorité irlandaise a alors saisi le Comité européen de la protection des données (CEPD) – ou, en anglais, EDPB (9) – pour consultation sur les points litigieux, en vertu de l’article 65 du RGPD. Ce dernier a alors rendu trois décisions contraignantes le 5 décembre 2022 relatives aux activités de traitement de données à caractère personnel par Facebook, Instagram et WhatsApp (10). L’autorité irlandaise a alors intégré ces conclusions dans ses trois décisions – celles datées du 31 décembre 2022 à l’encontre de Facebook (210 millions euros d’amende) et d’Instagram (180 millions euros), ainsi que dans celle du 12 janvier 2023 à l’encontre de WhatsApp (5,5 millions d’euros d’amende). Dans le cadre de ses projets de décisions d’octobre 2021, l’autorité irlandaise relevait, de la part des sociétés Facebook, Instagram et WhatsApp, un manquement à leur obligation de transparence édictée par le RGPD (11). En effet, l’autorité irlandaise considère que les utilisateurs des services Meta ne disposent pas d’une clarté suffisante quant aux opérations de traitement effectuées sur les données à caractère personnel, à quelle(s) finalité(s) et quelle(s) base(s) légale(s) parmi celles identifiées à l’article 6 du RGPD.

L’absence de consensus européen
Les décisions contraignantes rendues par le CEPD le 5 décembre 2022 confirme cette position en ce qui concerne la violation par Facebook, Instagram et WhatsApp de leur obligation de transparence, sous réserve de l’insertion d’une violation supplémentaire, celle du principe de loyauté édicté par le RGPD (12). Alors que la « Cnil » irlandaise considère, dans ses projets de décisions soumis au CEPD, que le recours de Meta Ireland au contrat constituait une base juridique pour certains traitements des données personnelles, ses homologues européens ont soulevé des objections sur ce point. En cause : le rejet par la DPC de la notion de « consentement forcé », s’appuyant sur le contrat entre les utilisateurs et Meta pour légitimer les traitements concernés. Dans les cas Facebook et Instagram, la question était de savoir si la diffusion de publicité personnalisée ou comportementale constituait, ou non, un des services personnalisés inclus dans les services plus largement fournis par Facebook et Instagram au titre du contrat conclu avec ses utilisateurs.

Impact important sur les plateformes
En effet, dans l’affirmative, ce service pourrait être considéré comme licite au sens de l’article 6 du RGPD, sans nécessité de solliciter le consentement des personnes concernées – systématiquement requis pour les traitements ayant pour finalité la publicité – en se fondant sur la base juridique de « l’exécution d’un contrat auquel la personne concernée est partie ». Selon l’autorité irlandaise, ce service personnalisé fait partie intégrante du contrat conclu entre le fournisseur de services et ses utilisateurs, et a été accepté par ces derniers au moment où ils acceptent les conditions d’utilisation des services. Ainsi, le consentement de l’utilisateur au traitement serait implicitement déduit de l’acceptation d’utiliser le service Meta. Cette réalité est au coeur du modèle économique de la firme de Mark Zuckerberg, dont la rentabilité se fonde sur les revenus publicitaires nécessitant la collecte massive et la réutilisation gratuite des données personnelles de ses utilisateurs à des fins de publicité comportementale. Andrea Jelinek, présidente du CEPD, a d’ailleurs déclaré que les décisions du comité pouvaient « avoir un impact important sur d’autres plateformes qui ont des publicités comportementales au centre de leur modèle d’affaires » (13).
Dans le cas WhatsApp, l’enjeu consistait à déterminer si le fait de subordonner l’accès des services WhatsApp à l’acceptation par les utilisateurs des conditions générales mises à jour (les services ne seraient alors pas accessibles si les utilisateurs refusaient de le faire), revenait ou non à « forcer » les utilisateurs à consentir au traitement de leurs données personnelles à des fins d’amélioration et de sécurité du service. Selon le point de vue de la « Cnil » irlandaise, le service fourni par WhatsApp comprend l’amélioration du service et la sécurité, nécessaire à l’exécution du contrat conclu avec les utilisateurs, de sorte que de telles opérations de traitement étaient licites au regard de l’article 6 du RGPD. Les autres « Cnil » européennes concernées par ces traitements ont soulevé – tant pour les cas Facebook et Instagram que pour le cas WhatsApp – des objections et ont estimé que les finalités de publicité personnalisée et d’amélioration du service et de sécurité ne sont pas considérées comme nécessaires pour exécuter les éléments essentiels du contrat conclu avec les utilisateurs. Face à l’absence de consensus sur ces points, le CEPD a par conséquent été consulté par l’autorité irlandaise, dans le cadre de la procédure issue de l’article 65 du RGPD, afin qu’il tranche sur les questions litigieuses.
Dans ses décisions rendues le 5 décembre 2022, le CEPD adopte, sur le fondement de l’article 6 du RGPD, la position selon laquelle Meta Ireland ne peut par principe invoquer le contrat comme constituant une base juridique pour traiter les données à caractère personnel à des fins de publicité comportementale (cas Facebook et Instagram) et d’amélioration et de sécurité. Le CEPD se distingue alors des autorités européennes qui soulevaient qu’un tel traitement ne satisfait pas à la condition de nécessité (en d’autres termes, la publicité personnalisée n’est pas nécessaire à l’exécution d’un contrat avec les utilisateurs de Facebook et Instagram), et rend des décisions de principe par application stricto sensu du RGPD.
Reflet du pouvoir contraignant du CEPD, l’autorité irlandaise a donc intégré cette solution dans les deux décisions rendues le 31 décembre 2022 à l’encontre de Facebook et Instagram. Il est exigé une mise en conformité avec le RGPD dans un délai de trois mois à compter de la décision – autrement dit d’ici au 31 mars prochain. De même, le 12 janvier 2023, l’autorité irlandaise a accueilli cette solution dans sa décision à l’encontre de WhatsApp, en lui ordonnant de se mettre en conformité dans un délai de six mois – soit d’ici le 12 juillet prochain.
A l’heure où il est indéniable que la donnée est le nouvel « or noir » du XXIe siècle, les entreprises doivent adopter des méthodes et techniques, et ce dès la conception de leur modèle économique, afin de protéger convenablement les données personnelles, comme l’exige le RGPD. Il apparaît désormais vital pour les entreprises d’anticiper les implications de leur conformité dès la conception de leurs projets impliquant des traitements de données personnelles (« Privacy by Design »).

Les internautes reprennent la main
On constate aujourd’hui que les internautes, surtout ceux résidant dans l’UE, cherchent, dans le cadre d’une approche « Privacy First », à utiliser des services respectueux de leur vie privée et prennent en compte la question de la protection des données personnelles les concernant comme condition à l’utilisation de tels services. Les entreprises traitant massivement les données personnelles, et notamment les GAFAM, se trouvent alors confrontées à cette problématique qui tend à modifier considérablement leur modèle économique. Il est aujourd’hui indispensable de se demander de quelle manière et à quel moment il est opportun d’appréhender la question de la protection de la donnée. @

Blockchain et RGPD : relations complexes, surtout lorsqu’il s’agit du traitement des données

Publié le par

La protection des données personnelles et la blockchain sont souvent vues comme incompatibles. Pourtant, les réflexions en cours permettent de nuancer, même si les droits des personnes (comme le droit à l’oubli) ou la question de la responsabilité (dans un monde décentralisé) restent à définir.

Par Arnaud Touati, avocat associé, Hashtag Avocats, et Benjamin Allouch, consultant*.

Le 25 mai 2018, le règlement général sur la protection des données (RGPD) est entré en application (1). Ce règlement européen, présenté comme le texte juridique le plus abouti en matière de protection des données à caractère personnel, s’applique dès que l’on utilise des données personnelles à des fins professionnelles. Il s’impose à tous, des autoentreprises aux institutions publiques, en passant par les sociétés commerciales. Le RGPD est également applicable dans le monde entier, si tant est que l’entité concernée utilise des données appartenant à des résidents de l’Union européenne (UE).

Blockchain et RGPD en chiens de faïence ?
Le 3 janvier 2009, le premier bloc de bitcoins est créé, selon son créateur anonyme Satoshi Nakamoto et auteur de l’article fondateur publié deux mois plus tôt (2), pour répondre aux dérives de la crise financière de 2008. Bitcoin, c’est notamment une transparence absolue des transactions, conservées ad vitam aeternam, dans « un système peer-to-peerde monnaie électronique ». Dès lors, comment conjuguer deux principes de prime abord antagonistes ? Comment protéger les données personnelles au sein d’une technologie où tout est transparent ? Comment garantir certains droits des personnes quand les données ne peuvent pas être effacées ? D’aucuns ont alors conclu à une incompatibilité entre la blockchain et le RGPD. Pourtant, s’il existe certainement des difficultés, la blockchain comme le RGPD peuvent s’adapter pour coopérer. Petit tour d’horizon des conflits relevés et des adaptations trouvées. Avant l’entrée en vigueur du RGPD, la législation sur la protection des données souffrait d’un manque de clarté quant à la répartition des rôles de chaque acteur. En outre, la responsabilité de certains d’entre eux était pour le moins incertaine. Aujourd’hui, le rôle de chacun et leurs responsabilités corrélatives sont clairement définis.
Il y a tout d’abord le responsable du traitement, soit l’entité qui « détermine les finalités et les moyens du traitement ». En d’autres termes, les données sont collectées pour l’activité du responsable du traitement. Ce sont par exemple les données des salariés d’une entreprise dans le cadre de sa gestion des ressources humaines. Il y a ensuite le soustraitant, lequel agit « au nom et pour le compte du responsable du traitement ». Autrement dit, il assiste son client dans la collecte des données ou à y accéder une fois collectées. C’est typiquement le cas d’un éditeur de logiciel, qui permet à son client de les consulter.
Et la blockchain dans tout ça ? Pour une bonne application du RGPD, il convient – même dans cette industrie décentralisée – de déterminer le rôle de chacun. Pour une entité centralisée, le procédé est plutôt aisé. Ainsi, une plateforme d’échange d’actifs numériques sera assimilée à un responsable du traitement pour les données de ses clients, voire de ses salariés si l’entreprise est basée sur le territoire de l’UE. Il en va de même, par exemple, pour les données de prospection commerciale. Mais qu’en est-il des applications décentralisées ? Déterminer son rôle est difficile. C’est le cas lorsqu’un protocole de finance décentralisée est lancé par un groupe de développeurs qui a, ensuite, le contrôle uniquement pour y effectuer de la maintenance. Peut-on considérer que, par exemple, Uniswap Labs – l’entité derrière le protocole Uniswap – est responsable du traitement des données ? Ou est-elle davantage sous-traitante des blockchains, comme Ethereum, qui tournent sur son protocole ? Derrière la question de la détermination du rôle de chacun, se cache invariablement celle, épineuse, de la responsabilité encourue.
La responsabilité d’une plateforme centralisée ne se pose pas, puisqu’il s’agit d’une entreprise avec des organes de direction précisément identifiés. En revanche, pour ce qui concerne les applications décentralisées et les acteurs qui construisent un protocole, la question est bien plus complexe. Prenons l’exemple d’un assureur qui aurait « blockchainisé » l’un de ses produits. L’octroi d’une indemnisation dépend non pas d’un humain, mais d’un algorithme, en l’occurrence un smart contract dans le langage « blockchain » (3). Qui serait alors considéré comme le sous-traitant ? Les développeurs ou l’éventuelle entité de la blockchain utilisée ?

Responsabilité dans un monde blockchainisé
Le RGPD exige du sous-traitant qu’il agisse en fonction des instructions écrites de son client. Or, si l’assureur utilise un protocole existant, ce dernier n’agira pas en fonction des instructions de son « client », puisqu’il est théoriquement le même pour tous. En outre, en cas de manquement au RGPD, comment rendre responsables les développeurs d’un protocole ? Ces questions restent, pour l’heure, sans réponse… En théorie, la blockchain est publique, transparente et accessible à tous. Cela signifie que n’importe qui peut avoir accès aux données. En pratique, cette transparence ne sera pas pour autant absolue. Il en va notamment des données médicales, dont l’accès sera protégé. Ainsi, si la donnée est visible dans la blockchain, elle n’est pas pour autant aisément accessible et fait l’objet d’un chiffrement, dont seule la personne concernée possède la clé de déchiffrement. Cependant, quid des données brutes et accessibles à tous ?

Quid des droits des personnes ?
En théorie, toujours, la blockchain est immuable. Ainsi, les données ne peuvent ni être modifiées ni même effacées. Or, l’article 17 du RGPD instaure un droit à l’effacement (4), que l’on appelle plus communément « droit à l’oubli » (5). Comment concilier ce droit à l’effacement avec l’immutabilité de la blockchain ? A priori, cela paraît impossible. Pourtant, la réalité diffère… D’une part, l’immutabilité de la blockchain (pas de retour en arrière possible) est issue du protocole Bitcoin et n’est pas un principe gravé dans le marbre. Grâce à un smart contract (non applicable à Bitcoin mais à d’autres protocoles), il est tout à fait possible de prévoir l’effacement de certaines données à une date précise. En outre, le droit à l’oubli luimême n’est pas absolu, puisque le RGPD prévoit des exceptions, notamment celle du droit à l’information. Enfin, la blockchain n’est pas nécessairement transparente. En effet, il existe des blockchains privées ou de consortium, qui ne sont accessibles qu’à un certain nombre d’individus précisément identifiés. Dans cette hypothèse, il s’agit simplement d’une base de données améliorée, qui répond aux mêmes exigences que les bases de données classiques. Si les dispositions du RGPD sont bien respectées, les données sont sécurisées et seules les personnes autorisées y ont accès.
Les personnes dont les données sont collectées peuvent exercer plusieurs droits distincts. Outre le droit à l’oubli, le droit d’accès, le droit d’opposition, le droit de rectification, le droit à la suppression ou encore le droit à la portabilité font partie de ce que l’on appelle les droits des personnes. Or, si le principe d’immutabilité de la blockchain n’est pas absolu, cela ne signifie pas que l’on peut y modifier aisément les données inscrites. Ainsi, le droit à la rectification des données inscrites dans la blockchain semble plus que complexe. En effet, chaque donnée d’une blockchain est conservée dans des blocs qui s’enchaînent chronologiquement, d’où son nom (chaîne de blocs). Ce faisant, pour modifier une donnée, il faudrait, en principe, en modifier l’ensemble du bloc, ce qui constituerait un travail d’envergure.
De même, le droit à la portabilité semble, à l’heure actuelle, impossible. La portabilité est la possibilité pour toute personne de solliciter le responsable du traitement aux fins de transférer l’ensemble de ses données à un autre responsable du traitement. Qu’est-ce que cela signifierait réellement dans la blockchain ? L’on pourrait imaginer le passage d’une plateforme centralisée à une autre. En l’espèce, cela serait possible, puisqu’il s’agit de données clients. En revanche, la portabilité entre différents protocoles décentralisés et différentes blockchains semble presque impossible. L’un des problèmes principaux des blockchains est effectivement l’interopérabilité entre elles. Or, faire passer des données entre, par exemple, le réseau Bitcoin et le réseau Ethereum est tellement complexe que personne ne s’essaierait à le faire. Toutefois, il existe des protocoles appelés « bridge », qui sont justement prévus pour permettre cette interopérabilité. Mais de là à faire passer un jeu de données d’un protocole à l’autre, c’est une autre histoire…
Au-delà même du droit des personnes, subsiste la question de la nature des données concernées. Pour la blockchain Bitcoin, la seule donnée personnelle présente est l’adresse publique… qui est une donnée pseudonymisée. Il en va de même pour la majorité des autres protocoles, qui, s’ils diffèrent de Bitcoin, reprennent ce principe de collecter un minimum de données personnelles, à l’exception de l’adresse IP pour certains. Ainsi, l’exercice du droit d’opposition est impossible pour de telles données puisque refuser le traitement signifie tout simplement refuser d’utiliser le protocole en question. Encore une fois, nous en revenons toujours au même point : ce sont les plateformes centralisées qui conservent le plus de données personnelles, en raison notamment de la vérification d’identité, ou KYC (Know Your Customer) à effectuer. La question principale est donc celle de la prochaine articulation entre les protocoles décentralisés, le RGPD et le futur règlement européen TFR (Transfer of Funds Regulation). Ce dernier, bientôt en première lecture au Parlement européen (6), va effectivement obliger les plateformes d’échange à effectuer une vérification d’identité pour tout transfert vers les portefeuilles non hébergés.

Nécessaire souplesse dans l’interprétation
Or, à l’exception de l’adresse IP pour certains protocoles bien identifiés, aucune donnée personnelle n’est collectée à ce jour lors de la création de ces portefeuilles, comme ceux de l’entreprise française Ledger. Si tel est le cas à l’avenir, la collecte et la conservation des données devraient a priori respecter les dispositions du RGPD.
En définitive, il est envisageable de respecter les principes du RGPD, tout en utilisant la blockchain (7). Les marges d’appréciation sont importantes et le règlement dispose de nombreuses exceptions. Cela nécessite de la souplesse. Depuis le rapport de 2019 du Parlement européen (8), les réflexions dans ce domaine se poursuivent. Il ne faudrait cependant pas qu’une règlementation trop stricte retarde l’Europe par rapport aux Etats-Unis et à la Chine, comme cela l’a été pour le développement d’Internet dans les années 1990… Affaire à suivre ! @

* Benjamin Allouch est consultant indépendant Web3
et protection des données.

RGPD : toute personne a un droit d’accès étendu à ses données personnelles, à deux limites près

Publié le par

La Cour de justice de l’Union européenne (CJUE) devrait suivre les conclusions de son avocat général sur l’interprétation étendue de l’article 15 du RGPD donnant droit aux individus l’accès à leurs données personnelles et à l’identité des destinataires de ces données. Sauf dans deux cas de figure.

D’après Giovanni Pitruzzella, avocat général à la Cour de justice de l’Union européenne (CJUE).

Giovanni Pitruzzella (photo), avocat général à la Cour de justice de l’Union européenne (CJUE), a présenté le 9 juin dernier ses conclusions dans une affaire opposant un citoyen autrichien dit « RW » et la poste autrichienne Österreichische Post (OP). Le litige commence en janvier 2019 lorsque le premier a demandé à la seconde d’accéder aux données à caractère personnel le concernant. Sa demande portait non seulement sur ses données personnelles conservées par l’OP, mais aussi celles communiquées à des tiers – afin d’être informé sur l’identité des destinataires. Et ce, en application de l’article 15 « Droit d’accès de la personne concernée » du RGPD, le règlement général européen sur la protection des données (1).

Le « ou » de la discorde
La poste autrichienne a répondu à RW en lui expliquant qu’elle utilise des données dans le cadre de son activité d’éditeur d’annuaires téléphoniques et qu’elle les propose à des partenaires commerciaux à des fins de marketing. L’OP a aussi renvoyé le requérant vers deux sites web d’information, l’un sur les finalités du traitement des données, l’autre sur les catégories générales de destinataires auxquels elle communique les données à caractère personnel (en l’occurrence à des partenaires commerciaux, parmi lesquels des annonceurs dans le secteur de la vente par correspondance et du commerce physique, des entreprises informatiques, des éditeurs d’annuaires téléphoniques et des associations telles que des organisations caritatives, des ONG ou des partis politiques). Pour autant, à aucun moment, l’OP n’a révélé à RW les destinataires spécifiques auxquels elle avait communiqué ses données.
L’intéressé a alors introduit un recours pour tenter de faire condamner la poste autrichienne à lui fournir davantage d’informations en application de l’article 15 du RGPD, concernant notamment d’éventuels transferts de ses données à caractère personnel à des tiers, ainsi que le ou les destinataires spécifiques auxquels ces données ont été communiquées. La demande de RW a ensuite été rejetée par les juridictions autrichiennes, tant en première instance qu’en appel, en invoquant le fait que l’article 15 du RGPD mentionne – parmi les huit types d’informations que doit fournir le responsable du traitement des données – « les destinataires ou catégories de destinataires auxquels les données à caractère personnel ont été ou seront communiquées ». C’est ce « ou » qui rend flou l’interprétation de cet article 15. Selon l’avocat général de la CJUE, « cette disposition accorde au responsable du traitement la possibilité de choisir de se limiter à communiquer à la personne concernée les catégories de destinataires, sans devoir indiquer de manière nominative les destinataires spécifiques auxquels ses données à caractère personnel sont transmises ».
Or, sur ce point, il y a débat justement, certains voyant au contraire dans ce « ou » la possibilité pour la personne concernée soit de se contenter d’obtenir du responsable du traitement des données les « catégories » de destinataires auxquels ses données personnelles ont été communiquées, soit d’aller plus loin en exigeant la liste spécifique de ces mêmes destinataires. C’est dans ce sens que le citoyen RW s’est pourvu en cassation en introduisant un nouveau recours. Du coup, la cour suprême d’Autriche – Oberster Gerichtshof – a eu un doute quant à l’interprétation de l’article 15 du RGPD qui a été retenue par les juridictions du fond, et a donc décidé de surseoir à statuer et de poser à la CJUE la question préjudicielle suivante : « L’article 15, paragraphe 1, sous c), du [RGPD] doit-il être interprété en ce sens que le droit d’accès [de la personne concernée] est limité à l’information sur les catégories de destinataires si les destinataires concrets ne sont pas encore connus lorsque les communications sont envisagées, mais qu’il doit impérativement s’étendre également à l’information sur les destinataires de ces informations lorsque des données ont déjà été communiquées ? ».

L’interprétation de l’article 15
Après avoir rappelé que l’article 15 du RGPD concrétise et précise le droit de toute personne d’accéder aux données la concernant, lequel droit est consacré par la charte des droits fondamentaux de l’Union européenne (2), l’avocat général Giovanni Pitruzzella s’est attardé plus précisément sur l’interprétation du « ou » (dans « les destinataires ou catégories de destinataires ») : « Le libellé de la disposition (…) ne permet pas (…), indique-t-il, d’apporter une réponse définitive à la question de savoir s’il convient de considérer que le droit d’accès de la personne concernée qui est prévu à cet article inclut nécessairement l’accès à des informations relatives aux destinataires précis de la communication de données à caractère personnel la concernant, ou si sa portée peut être limitée à l’accès à des informations relatives aux catégories de destinataires ». Et d’ajouter : « Cette disposition ne précise pas non plus explicitement s’il est possible de choisir entre les deux catégories d’informations possibles qui sont prévues (à savoir les “destinataires” ou les “catégories de destinataires“) ni à qui (c’est-à-dire à la personne concernée ou au responsable du traitement) il appartient, le cas échéant, de choisir à quel type d’informations l’accès doit être garanti ». Informations sur les destinataires Cependant, Giovanni Pitruzzella indique privilégier une interprétation de la disposition permettant à la personne concernée – « et donc pas au responsable du traitement comme l’ont jugé les deux juridictions nationales du fond dans la présente affaire » – de choisir entre les deux solutions alternatives qui y sont prévues. Et, dans cette logique, cet article prévoit le droit pour la personne concernée de demander, lorsque c’est possible, l’accès aux informations relatives aux destinataires spécifiques auxquels ses données à caractère personnel sont communiquées. Pour conforter cette interprétation, l’avocat général a rappelé le considérant 63 du RGPD prévoyant explicitement que la personne concernée doit « avoir le droit de connaître et de se faire communiquer […] l’identité des destinataires de ces données à caractère personnel ». Aussi, dans cette affaire « RW contre l’OP », ce considérant ne mentionne en aucune manière que ce droit d’accès de la personne concernée pourrait être limité, à la discrétion du responsable du traitement, aux seules catégories de destinataires.
La spécification des destinataires auxquels les données à caractère personnel de l’individu sont communiquées participe en outre à l’objectif du RGPD visant à la transparence des modalités de traitement des données à l’égard des personnes concernées, lesquelles peuvent prendre connaissance du traitement de leurs données et d’en vérifier la licéité : « L’exercice de ce droit d’accès doit, en particulier, permettre à la personne concernée de vérifier non seulement que les données la concernant sont exactes, mais également qu’elles ont été communiquées à des destinataires autorisés. Cela présuppose en principe que les indications fournies soient les plus précises possibles », relève Giovanni Pitruzzella. Le considérant 39 du RGPD consacre aussi le principe de transparence (3). De plus, ce droit d’accès permet à la personne concernée d’exercer le droit de rectification, le droit à l’effacement – le droit à l’oubli – et le droit à la limitation du traitement qui lui sont conférés par, respectivement, les articles 15, 17 et 18 du RGDP. Aussi, le responsable du traitement est tenu de notifier à chaque destinataire – auquel les données à caractère personnel ont été communiquées – toute rectification ou tout effacement de données à caractère personnel ou toute limitation du traitement effectué, « à moins qu’une telle communication se révèle impossible ou exige des efforts disproportionnés » (4).
Les destinataires ainsi informés sont dès lors obligés de procéder immédiatement à la rectification, à l’effacement ou à la limitation du traitement, pour autant qu’ils sont encore en train de traiter les données en question. En conséquence, afin de garantir l’effet utile des droits de la personne concernée à l’effacement, à la rectification ou à la limitation du traitement, celle-ci doit disposer – « en principe » – d’un droit à être informée de l’identité des destinataires spécifiques.
Néanmoins, l’avocat général de la CJUE voit « une limite » à cette extension du droit d’accès prévu par le RGPD, « dans au moins deux cas de figure » :
Dans le cas où il est matériellement impossible de fournir des informations sur les destinataires spécifiques, par exemple parce que ceux-ci ne sont pas encore effectivement connus. Aussi, dans ce cas, le droit d’accès de la personne concernée ne pourra porter que sur les « catégories » de destinataires.
L’exercice du droit d’accès de la personne concernée doivent être examinés au regard des principes de loyauté et de proportionnalité. Les demandes de la personne concernée ne doivent pas être manifestement infondées ou excessives et que, si tel est le cas, le responsable du traitement peut également refuser de donner suite à ces demandes.
Au-delà de ces deux cas de figure limitatifs, Giovanni Pitruzzella a rappelé qu’il convenait de « trouver un juste équilibre entre, d’un côté, l’intérêt de la personne à protéger sa vie privée (…) et, de l’autre, les obligations incombant au responsable du traitement ».

Deux limitations sont avancées
Conclusion de l’avocat général que la CJUE devrait suivre dans son prochain arrêt – comme elle le fait le plus souvent : « Il est possible de limiter ce droit d’accès à la seule indication des catégories de destinataires lorsqu’il est matériellement impossible d’identifier les destinataires spécifiques de la communication des données à caractère personnel de la personne concernée ou lorsque le responsable du traitement démontre que les demandes de la personne concernée sont manifestement infondées ou excessives » (5). @

Charles de Laubier

Collecte de données de géolocalisation mobile : la Cnil mène l’enquête au regard du RGPD

Publié le par

Le 13 juin 2022, la Commission nationale de l’informatique et des libertés (Cnil) a annoncé avoir confié à son laboratoire Linc une étude sur les données de géolocalisation collectées par des applications mobiles, la revente de données et les data brokers. Elle vérifiera la conformité avec le RGPD.

« Si cette étude n’est pas liée à une procédure de contrôle ou de sanction, elle s’inscrit néanmoins dans l’une des thématiques prioritaires de contrôles puisqu’en 2022 la Cnil vérifiera la conformité au RGPD des professionnels du secteur [en l’occurrence de la prospection commercial, dont la publicité en ligne, ndlr], en particulier de ceux qui procèdent à la revente de données, y compris, des nombreux intermédiaires de cet écosystème (aussi appelés data brokers) », précise le gendarme français des données et des fichiers informatiques.

Données anonymisées ou authentiques
Cela fait partie de ses priorités pour l’année en cours, dans le cadre sa mission de contrôle du respect du règlement général sur la protection des données (RGPD), lequel fut adopté en 2016 par le Parlement européen (1) et en vigueur depuis mai 2018 dans les Vingt-sept. Cette enquête est confiée au Laboratoire d’innovation numérique (Linc), dirigé depuis plus d’un an par Vincent Toubiana (photo). Cette mission s’achèvera dans quinze mois – en septembre 2023 – et « ce projet donnera lieu à plusieurs publications sur le site web du Linc » (2). Si la Cnil n’envisage pas – pour l’instant ? – d’actions répressives à l’encontre des exploitants de données, anonymisées et/ou personnelles, qui enfreindraient le RGPD et la protection de la vie privée des internautes, elle prévoit de « sensibiliser le public et les professionnels sur les enjeux liés à la collecte de données de géolocalisation par les applications mobiles ».
Pour étudier les pratiques aux finalités publicitaires et marketing, le Linc est en train d’analyser « un échantillon de données correspondant à la France » que la Cnil s’est procuré auprès d’un data broker de la place en se faisant passer pour un client potentiel lambda. Elle a pu ainsi obtenir du courtier de données « un jeu de données de géolocalisation » concernant des personnes. La Cnil précise que le jeu de données concerné est un fichier comportant des données de géolocalisation horodatées avec des points de localisation associés à près de 5 millions d’identifiants publicitaires de smartphones (Android et iOS) sur une période d’environ une semaine en 2021. « Les données transmises, précise le régulateur des données personnelles, sont présentées comme anonymisées par le revendeur de données. Après une rapide analyse, la Cnil considère qu’au moins une partie de ces données est authentique. Elle vérifiera si, sur la base de ce jeu de données, elle est en capacité de réidentifier les personnes et, dans l’affirmative, elle informera individuellement celles-ci ».
Dans l’éventualité où des personnes seraient réidentifiées, assure donc l’autorité indépendante de la place de Fontenoy, le traitement de leurs données sera suspendu jusqu’à ce qu’elles soient individuellement informées. « Si vous souhaitez plus d’informations sur ce traitement ou si vous souhaitez exercer vos droits, vous pouvez contacter ip@cnil.fr ou adresser un courrier à la Cnil à l’attention du service Linc », indique-t-elle. Des mesures particulières ont même été prises pour assurer la confidentialité de ces données auxquelles ne pourront accéder que l’équipe du Linc. Dans le jeu de données fourni, apparaissent des identifiants publicitaires. Ce que l’on appelle « identifiant publicitaire » consiste en une chaîne de caractères associée à un unique smartphone et permettant à des annonceurs de le reconnaître pour lui adresser de la publicité. « Comme son nom l’indique, cette donnée est identifiante : il s’agit donc d’une donnée personnelle. Un acteur disposant de deux sources de données présentant le même identifiant publicitaire est en mesure de relier les informations et de construire un profil plus complet de la personne à laquelle l’identifiant est associé », souligne la Cnil.

Deux missions : information et veille techno
Un courtier de données est à même de pouvoir relier les données d’utilisations collectées à partir de différentes applications installées sur un même smartphone. « Plus cet identifiant est stable dans le temps, fait remarquer l’autorité, plus il permet d’accumuler des informations sur les habitudes des propriétaires de smartphones. Il est donc conseillé de renouveler régulièrement cet identifiant ». Dans l’étude du Linc, l’identifiant publicitaire ne sera utilisé que pour faire le lien entre les points de localisation correspondant à un même smartphone. Un acteur de la publicité, lui, cherchera à faire le lien utiliser la valeur de l’identifiant pour l’associer à d’autres données telles que des données d’utilisation d’applications mobiles. La course à la géolocalisation mobile à des fins de publicités ciblées en temps réel – le RTB (Real Time Bidding) – serait la plus grande atteinte à la vie privée, selon l’ONG irlandaise ICCL (3), qui a publié le 16 mai dernier une étude édifiante (4) : en Europe, l’industrie du RTB expose les données des gens 376 fois par jour en moyenne ; aux Etats-Unis, c’est 747 fois ! L’industrie américaine et européenne du RTB a généré plus de 117 milliards de dollars en 2021.

Des mesures législatives ou réglementaires ?
Cette étude sur les données de géolocalisation collectées par des applications mobiles s’inscrit dans le cadre de deux missions précises de la Cnil prévues par la loi « Informatique et Liberté » : d’une mission d’information telle que définie dans l’article 8.I.1 (« Elle informe toutes les personnes concernées et tous les responsables de traitements de leurs droits et obligations et peut, à cette fin, apporter une information adaptée aux collectivités territoriales, à leurs groupements et aux petites et moyennes entreprises ») ; d’une mission de suivi de l’évolution des technologies de l’information telle que définie dans l’article 8.I.4 (« Elle se tient informée de l’évolution des technologies de l’information et rend publique le cas échéant son appréciation des conséquences qui en résultent pour l’exercice des droits et libertés mentionnés à l’article 1er »).
Dans sa mission de suivi de l’évolution des technologies de l’information, la Cnil peut même proposer au gouvernement des mesures législatives ou réglementaires pour procéder à l’« adaptation de la protection des libertés à l’évolution des procédés et techniques informatiques et numériques ». Reste à savoir s’il faudra adapter les textes en vigueur aux données de géolocalisation collectées par des applications mobiles, à la revente de données et aux pratiques des data brokers. Quoi qu’il en soit, la Cnil est tenue de contrôler la conformité des acteurs du numérique en France au RGPD, et les données de géolocalisation des données mobile – à l’ère du smartphone utilisé comme premier écran – sont particulièrement sensibles à cet égard.
D’autant que la loi « Informatique et Libertés » de 1978 n’a jamais été autant réécrite depuis l’ordonnance « Protection des données personnelles » du 12 décembre 2018 qui a mis en conformité le droit national français (5) avec le RGPD entré en vigueur au niveau européen depuis le 25 mai 2018. Cette transposition a notamment eu un impact sur le 1er article de cette loi française historique sur l’informatique, les fichiers et les libertés, qui en réfère désormais au RGPD européen notamment. Ainsi : « L’informatique doit être au service de chaque citoyen. Son développement doit s’opérer dans le cadre de la coopération internationale. Elle ne doit porter atteinte ni à l’identité humaine, ni aux droits de l’homme, ni à la vie privée, ni aux libertés individuelles ou publiques. Les droits des personnes de décider et de contrôler les usages qui sont faits des données à caractère personnel les concernant et les obligations incombant aux personnes qui traitent ces données s’exercent dans le cadre du [RGPD], de la directive [dite « Police-Justice », ndlr (6)] et de la présente loi [« Informatique et Libertés »] ».
L’on comprend pourquoi la collecte des données de géolocalisation par les éditeurs d’applications mobiles soit mise sous surveillance et fasse l’objet d’une enquête de la part du régulateur des données personnelles. La question de l’anonymisation de ces data géolocalisées et de leur identification en tant que données personnelles est cruciale, voire épineuse pour tout l’écosystème numérique et publicitaire.
Surtout que la directive européenne dite « ePrivacy » – modifiée (7) et transposée à l’article 82 de la loi « Informatique et Libertés » – interdit la collecte de données sans le consentement préalable de l’internaute (du mobinaute) concerné et sans qu’elle ait été rendues anonymes. Or cette directive « ePrivacy » prévoit en son article 5.3 que « les Etats membres garantissent que l’utilisation des réseaux de communications électroniques en vue de stocker des informations ou d’accéder à des informations stockées dans l’équipement terminal d’un abonné ou d’un utilisateur ne soit permise qu’à condition que l’abonné ou l’utilisateur, soit muni, (…) d’une information claire et complète, entre autres sur les finalités du traitement, et que l’abonné ou l’utilisateur ait le droit de refuser un tel traitement par le responsable du traitement des données. (…) ». Cette disposition, transposée dans des termes similaires en droit français dans la loi « Informatique et Libertés », concerne a priori aussi bien les cookies stockés sur tout terminal connecté que l’accès aux données de géolocalisation qui y sont stockées.

Cookies et data géolocalisées, même combat ?
D’ailleurs, comme elle l’a déjà fait pour les cookies déposés par Amazon et Google (8), la Cnil pourrait très bien recourir non pas au RGPD – lequel suppose à « l’autorité chef de file » de coordonner la prise de décision avec les autres autorités concernées par le traitement des données en question – mais à s’appuyer plutôt sur cette directive « ePrivacy ». Dans ce cas, le gendarme français des données personnelles peut se considérer comme territorialement compétente pour contrôler et sanctionner des acteurs – même étrangers – abusant de la géolocalisation de données mobiles via leurs activités en France. @

Charles de Laubier