« David contre Goliath ». C’est ainsi que se décrit Silvio Siliprandi, le CEO de Hoda, une petite start-up italienne qui ferraille contre le géant Google depuis plusieurs années. À coups de procédures et de déclarations, les deux sociétés bataillent en Italie sur ce qui est au cœur de leur business modèle : pour l’une, les données personnelles, pour l’autre, leur portabilité. Ce conflit, passé assez inaperçu dans l’Hexagone, pourrait pourtant avoir un impact décisif pour les 447 millions d’Européens et les entreprises. L’affaire pourrait être le tout premier cas où les consommateurs reprennent le pouvoir sur leurs données personnelles, s’enthousiasme Hoda. Elle constituerait un premier coup assené sur le monopole des géants de la publicité, une faille dans laquelle pourraient s’engouffrer des centaines d’entreprises. Rembobinons.
En 2018, gros chamboulement dans l’Union européenne (UE). Le règlement européen sur la protection des données personnelles (le RGPD) vient d’entrer en vigueur. Son article 20 consacre un droit à la portabilité des données personnelles, ces informations glanées par des géants comme Google, Apple ou Meta lorsqu’on utilise un navigateur, qu’on réalise une recherche ou qu’on est sur un réseau social. Ce texte prévoit que tout citoyen européen puisse recevoir ses données de manière structurée et lisible, et qu’il puisse les transférer à qui il le souhaite.
D’un côté, cet article va permettre aux consommateurs de passer plus facilement d’un opérateur à un autre. Celui qui voudra changer d’assurance pourra demander à ce que la nouvelle recoive bien les données personnelles collectées par l’ancienne si certaines conditions sont remplies, explique Jérôme Deboulez, avocat spécialisé sur le sujet. De l’autre, le texte est censé ouvrir le marché des données à caractère personnel, jusque-là exclusivement aux mains des grandes entreprises comme Google, Meta ou Amazon. Avec ce nouvel article, des intermédiaires pourraient en théorie exister à côté des géants qui collectent les données et les réutilisent pour de la publicité ciblée.
Des statistiques contre des contreparties pour l’abonné
Et c’est justement pour faire partie de ces nouveaux acteurs qu’Hoda est créée, la même année. Son objectif : permettre à des individus de contrôler l’usage fait de leurs données personnelles, et verser à ces derniers une « rétribution » si leurs données personnelles sont valorisées. Pour ce faire, elle lance une App en 2019 : « Weople », présentée comme une banque de données. Grâce à un mandat donné par ses utilisateurs, Weople va réclamer, en leur nom, les données que d’autres entreprises ont collectées sur eux. Elle va ensuite les stocker dans un coffre-fort numérique. Et les abonnés pourront utiliser ce trésor comme bon leur semble.
Ils peuvent par exemple accepter que leurs données soient « valorisées » : l’App va les anonymiser, les rassembler avec d’autres datas en vue de créer des statistiques qui seront revendues aux annonceurs. « Nous ne vendons pas les données personnelles, mais nous créons des statistiques comme par exemple, la façon dont les gens veulent acheter de l’eau, le fait qu’ils préfèrent les bouteilles en verre ou en plastique », explique Alessandro Rossini, l’un des conseils juridiques de Hoda. En échange, les abonnés vont toucher des bons de réduction, des avoirs, ou d’autres contreparties.
Google et d’autres refusent de transmettre les données personnelles
Mais au bout de quelques mois, la start-up déchante. Car si des entreprises acceptent de jouer le jeu du partage, d’autres ferment leur porte, comme lorsque l’App demande d’accéder aux données récoltées par Google. Notamment parce que les géants freinent des quatre fers quand il s’agit de partager réellement ce qui est au cœur de leur modèle économique. Google, comme d’autres leaders du secteur, collecte massivement des données des utilisateurs de son moteur de recherche ou de son navigateur. Ces données lui permettent ensuite d’engranger des revenus abyssaux issus de la publicité ciblée.
Et voilà que de nouveaux venus comme Hoda demandent à récupérer, au nom des utilisateurs, ces données. Sur le marché de la publicité numérique, l’initiative est forcément vue d’un mauvais œil. Des entreprises récalcitrantes, dont Google, vont alors taper à la porte de la Garante, l’autorité de protection des données italienne, pour demander : Hoda est-elle une entreprise sûre ? A-t-elle des processus de sécurité suffisants en matière de respect de la vie privée pour que nous puissions lui transmettre les données personnelles ? Cette dernière botte en touche, et demande l’avis de ses collègues du Comité européen de la protection des données (CEPD), l’entité qui rassemble les Cnil européennes. Puis quelques mois plus tard, elle change d’avis et retire sa demande, sans pour autant trancher. Depuis, la procédure semble au point mort. « Nous attendons toujours un avis clair de la Garante » se désespère encore aujourd’hui le conseil juridique de Hoda.
Après la protection de la vie privée, le terrain de la concurrence
Mais la petite start-up est loin d‘avoir dit son dernier mot. Lassée d’attendre une décision qui n’arrive pas sur le terrain de la protection des données, elle initie une action contre Google devant l’autorité de la concurrence italienne (l’AGCM). Car contrairement à ce que prévoit l’article 20 du RGPD, « l’utilisateur ne peut pas facilement récupérer ses données et en faire ce qu’il veut. Ici, on se heurte à la technologie. Même si Google a une interface appelée “Take out” qui permet à chaque utilisateur de transférer ses données, il faut être un ingénieur pour parvenir à les récupérer. Et si vous voulez en faire quelque chose, c’est mission quasi impossible », explique le CEO de Hoda. En d’autres termes, Google se servirait de la technologie pour compliquer la tâche des petits acteurs, en rendant difficile ledit transfert.
Au sein de l’organisme d’antitrust, l’argument fait mouche. À tel point qu’en juillet 2022, l’autorité décide d’ouvrir une enquête pour abus de position dominante contre Google, précisément parce qu’elle soupçonne le titan d’avoir placé des « obstacles […] à l’identification de mécanismes d’interopérabilité permettant de mettre les données de sa plateforme à la disposition d’autres plateformes ». Il faut en effet passer par plusieurs étapes pour transférer ces données, alors qu’il faudrait un lien directement intégré dans l’App pour que le transfert soit facilité. Et comme c’est compliqué, les données ne sont pas transférées.
Sous le coup d’une enquête de l’autorité antitrust, Google finit par lâcher du lest
Une telle situation désavantagerait les consommateurs, écrit l’autorité dans son communiqué. « Le comportement de Google pourrait limiter les avantages économiques que les consommateurs peuvent tirer de leurs données. (…) [Et il] pourrait restreindre la concurrence parce qu’il limite la capacité des opérateurs alternatifs à développer des services innovants basés sur les données », tacle-t-elle. Les reproches sont pris très au sérieux par Google. Le groupe risque une amende plus que salée – 10% de son chiffre d’affaires mondial – s‘il ne répond pas aux points soulevés par l’autorité.
Résultat, sept mois plus tard, Google va lâcher un peu de lest. Le 22 février 2023, la société publie trois engagements. On peut y lire que le groupe va faciliter la tâche des utilisateurs qui souhaitent partager leurs informations avec d’autres fournisseurs de services en ligne – le texte n’est pas spécifique à Hoda et s’applique à toutes les entreprises qui souhaitent traiter les données personnelles. Mais il ne s’agit ni d’un aveu de culpabilité, ni d’une reconnaissance de pratiques anticoncurrentielles, prévient le géant en préambule de ce document, avant de donner trois dates butoir.
La première, déjà effective : le 1er avril. Depuis cette date, Google a mis à disposition un lien renvoyant directement à la page de téléchargement des données – l’interface Takeout de Google – , que des services comme Weople pourront inclure dans leur application. Ensuite, avant juin, Google promet de fournir une documentation sur la structure et l’organisation des données, comme une « data map », qui permettra de simplifier l’extraction. Et à partir d’octobre, le géant a annoncé qu’il développera des interfaces pour permettre la portabilité directe vers les plateformes d’autres sociétés – y compris en leur fournissant une assistance technique. Le géant compte proposer une solution définitive à compter du 1er semestre 2024.
Google, qui n’a pas souhaité répondre à notre demande d’entretien, estime que « les engagements (…) pris auprès de l’AGCM soulignent notre volonté d’améliorer la portabilité des données pour les utilisateurs ». Dans un billet de blog du 9 mars dernier, la société a également annoncé « de nouveaux investissements afin de rendre la portabilité des données plus facile et plus sûre pour chaque utilisateur d’Internet ».
Un avertissement pour tous les autres leaders de la publicité en ligne
Ces engagements, qui ont reçu le feu vert de l’AGCM fin mars, sont aussi peut être arrivés en raison du « Digital Market Act », un règlement européen qui obligera les géants à faciliter encore plus les transferts de données. En attendant sa mise en œuvre, cette affaire sonne comme un avertissement pour tous les autres acteurs en position dominante comme Amazon ou Meta qui collectent massivement les données, en Italie et en Europe. Ils aussi pourraient être poussés – comme l’a été Google – par les autorités de la concurrence européennes, à rendre effectif le droit à la portabilité – et donc à mettre en place des transferts plus faciles.
La bataille, dont l’issue semble pencher en faveur de Hoda, n’est pourtant pas encore terminée, souligne le conseil juridique de la start-up. D’abord, la proposition d’engagements de Google – car il s’agit pour l’instant de propositions, même si la première deadline est déjà en passée – peut être discutée jusqu’au 21 avril prochain. Ensuite, Hoda, qui compte actuellement près de 60 000 abonnés, veillera point par point à ce que chaque promesse devienne effective.
A lire aussi : Pourquoi le transfert de vos données personnelles aux Etats-Unis est un incroyable casse-tête
Ce combat pourrait ouvrir, une bonne fois pour toute, le marché des données dans l’UE, puisque les engagements de Google s’appliqueront à tous les opérateurs et tous les utilisateurs. Un point dont Hoda se réjouit, bien que la start-up ait mené seule cette bataille. Au fil du temps, Hoda est devenue « la voix des milliers d’utilisateurs, dont le pouvoir serait autrement fragmenté et dispersé face aux géants comme Google, à l’image du Leviathan, ce monstre marin composé de mille et une figures », estime Andrea Valli, l’un des conseils de la start-up. Mais comme dans la mythologie, la société italienne sait que les jeux ne sont jamais faits. Et que les titans n’ont certainement pas encore dit leur dernier mot.