RGPD : deux « class actions » contre Oracle et Salesforce

Oracle et Salesforce vont devoir faire face à des actions de groupes devant les tribunaux néerlandais, anglais et gallois. Ces « class actions » soutiennent que le traitement et le partage de données personnelles, collectées via des cookies par deux outils de ces géants de l’IT, et utilisées ensuite pour vendre de la publicité en ligne ciblée, enfreignent le règlement général sur la protection des données (RGPD).

Salesforce et Oracle avaient reçu une première plainte en août 2020, déposée par un groupe néerlandais appelé « The Privacy Collective Foundation ». Les deux éditeurs ont depuis reçu une autre plainte, semblable, au Royaume-Uni, déposée cette fois-ci par la spécialiste de la protection des données et militante pour la protection de la vie privée, Rebecca Rumbul.

Sa « class action » réclame des dommages et intérêts qui pourraient dépasser les 10 milliards de livres sterling. La procédure aux Pays-Bas pourrait porter le montant total à plus de 15 milliards d’euros.

« J’en ai assez des géants de la tech qui se comportent comme s’ils étaient au-dessus des lois », assène Rebecca Rumbul. « Il est temps de prendre position et de démontrer que ces entreprises ne peuvent pas impunément aspirer nos données personnelles de manière illégale et indiscriminée. Aller sur internet n’est plus une option : je devrais pouvoir l’utiliser sans que des géants de l’IT me traquent sans mon consentement ».

« La quantité de données que ces entreprises recueillent sur un citoyen lambda est terrifiantes », continue-t-elle. « Avec leurs technologies qui sont déployées sur tous les sites web les plus populaires, il est difficile d’échapper à cette collecte de données ».

Plus précisément, le procès porte sur la collecte et le traitement d’informations personnelles par les plateformes qui appartiennent à Oracle et Salesforce. Ces outils de marketing utilisent des cookies pour collecter des données de navigation et ensuite les vendre aux enchères à des plateformes publicitaires diffusant des publicités en ligne personnalisées avec ces données.

Les publicités en question sont par exemple celles qui s’affichent sur plusieurs sites à la suite et qui peuvent donner l’impression d’être « suivi » par ces annonces. Les données utilisées pour les générer peuvent aller des centres d’intérêt d’une personne, à son lieu de résidence, en passant par son CSP ou sa situation personnelle (marié, célibataire, etc.) sans oublier le sexe, l’âge, le niveau d’éducation ou encore les sensibilités politiques ou l’appartenance religieuse.

La procédure lancée par Rebecca Rumbul, menée par le cabinet d’avocats Cadwalader, affirme que ce processus est effectué sans consentement clair et constitue donc une violation du RGPD.

« Salesforce est en désaccord avec ces allégations et entend bien démontrer qu’elles sont sans fondement », a répondu un porte-parole à nos collègues de ComputerWeekly (qui appartient au même groupe de presse que LeMagIT). « L’accusation concerne par ailleurs uniquement le service Salesforce Audience Studio et en aucun cas les autres produits de Salesforce », insiste bien le porte-parole.

De son côté, Oracle – par la voix de son Directeur Juridique, Dorian Daley – avait qualifié la procédure hollandaise de « tentative d’extorsion via un contentieux de mauvaise foi » (« shake-down through litigation filed in bad faith ») après avoir échangé avec le Privacy Collective qui n’a pas été convaincu par les explications de l’éditeur.

Dorian Daley avait lui aussi qualifié les allégations comme étant « sans fondement », et avait assuré qu’Oracle « se défendrait vigoureusement ». L’éditeur n’a pas fait de commentaire sur la deuxième procédure.

Il n’en reste pas moins qu’il s’agit de la plus importante action de groupe jamais intentée dans le domaine de la défense du respect de la vie privée par les éditeurs de services numériques.

Dans un premier temps, la procédure sera mise en suspens jusqu’à l’issue – prévue en 2021 – d’une affaire connexe jugée par la Cour suprême britannique : Lloyd contre Google.

Cette affaire déterminera si une « class action » peut être « opt-out » sur les sujets d’atteinte à la vie privée. Pour mémoire, il existe deux types d’actions de groupes : celles où les personnes concernées par l’objet de l’action doivent se manifester pour être impliquées dans la procédure (« opt-in »), et celles où la procédure englobe la totalité des personnes concernées, même si celles-ci n’ont pas porté plainte et qu’elles ne font pas partie du « groupe » (le « opt-out »). En fonction de cette nuance, et en cas de condamnation, le calcul des dommages et intérêts peut grandement varier.