Jusqu'où iront-ils ? Google aurait signé un accord secret avec Mastercard pour traquer les achats hors ligne

Etienne Drouard : Tout dépend du pays dont on parle. Il y a différentes cultures et différentes lois de protection de la vie privée. Si on parle de droit américain, il y a une loi qui s'appelle "Fair Credit Reporting Act" qui date des années 80/90 et qui impose des critères de protection de la vie privée dans le secteur financier et bancaire. C'est une loi fédérale qui impose un secret bancaire un peu comme celui qu'on a en France mais il permet en même temps le partage d'informations entre établissements qui sont eux aussi tenus à ce secret bancaire. Donc une banque n'a pas le droit de transmettre des informations sur vos habitudes d'utilisation de votre carte à quiconque sauf si ce quiconque est un établissement financier. Google a une licence d'établissement financier qui est normalement faite pour lui permettre de prendre et gérer des flux de paiement. Mais ça ne signifie pas que cette activité couvre le cas qui vient d'être dévoilé. Par ailleurs les établissements financiers, bancaires ou de crédit aux USA peuvent partager ensemble des informations sur les encours de crédit que peuvent avoir leurs consommateurs afin de pouvoir les noter. C'est une vraie particularité américaine sur l'usage de votre carte bancaire lorsque c'est une carte de crédit. Avant qu'on vous autorise à dépenser encore plus de crédit avec votre carte, on peut accéder, lorsqu'on est un établissement financier ou un intermédiaire d'un commerçant, à votre niveau de dettes. Parfois on considère que plus vous êtes endettés, plus vous êtes un bon consommateur, parfois on considère que plus vous êtes endettés, plus vous êtes un mauvais payeur. Mais il y a cette culture américaine qui est un vrai marché, une économie du partage d'informations sur le niveau d'endettement des personnes. Normalement ça ne doit pas concerner vos habitudes mais plutôt votre montant de consommation. Si vous avez 40 000 euros de crédit parce que vous avez acheté un canapé, on a le droit de savoir que vous avez 40 000 euros de crédit, mais on n'a pas le droit de partager entre établissements que vous avez acheté un canapé. Donc tout le nœud du problème va être de savoir si MasterCard a fourni des informations qui permettent de révéler des habitudes d'achat, la nature de vos achats.

J'ai personnellement un doute pour savoir si tout cela est totalement ou partiellement illégal. Il faut aller dans le détail pour savoir si Google a la possibilité technique de déduire des habitudes d'achats en fonction des montants fournis par MasterCard. Dans ce cas-là, Mastercard n'est pas nécessairement en faute et Google a le droit de faire du profilage puisqu'ils se le permettent dans leur "Privacy Policy". En revanche, si Mastercard a fourni à Google une info brute de décoffrage qui sort de la banque et qui les informe non pas seulement sur le montant mais aussi le type d'achats et chez quel type de commerçant, même aux USA, c'est une information qui devrait être couverte par le secret bancaire. Elle ne peut être levée qu'avec le consentement explicite et informé du client américain d'une banque américaine. Donc le nœud du problème va être de savoir si Mastercard a transmis plus qu'ils ne le devaient et si les personnes ont pu y consentir.

Vous vous rendez compte que si la vie privée ça consiste à savoir qu'on n'en a pas, ça ne va pas aller très loin. Si l'enjeu c'est simplement un défaut d'informations des personnes, où est le secret bancaire ? Parce que là, on ne parle pas d'une simple banque américaine, on est en train de parler du numéro 1 des moyens de paiement dans le monde. Donc on peut dire que ça concerne le droit américain mais ça concerne surtout une surface mondiale de moyen de paiement.

C'est le point crucial. Si MasterCard n'a eu un deal avec Google que sur les cartes bancaires de résidents américains, l'Europe s'en fiche, si l'on parle de cartes bancaires de résidents européens, elle ne s'en fiche plus. Des lois de protection des données et de la vie privée et de secret bancaire, il y en a dans chaque pays du monde. Elles peuvent être plus dures ou plus souples mais s'il y a des étrangers concernés, ça ne sera plus uniquement du droit américain. Ni côté Google, car vous pouvez être un utilisateur Google partout dans le monde, ni côté MasterCard car c'est un moyen de paiement employé partout. Le simple fait d'évoquer un accord secret est antinomique avec la loi. Parce que la moindre des obligations qui pèsent sur l'un comme sur l'autre c'est de le dire aux gens. Donc la nature de ce deal, on peut soit la voir dans les conditions d'utilisation des cartes bancaires et de Google, soit on ne peut pas les lire, même entre les lignes. Mais le fait que ce soit un accord secret est déjà un défaut de transparence qui est illégal. Concernant le défaut de légalité : est-ce qu'une banque avait le droit sur le fond de faire ça même s'il y a un embryon d'information des personnes ? Ca dépendra du droit américain et de caractéristiques comme la nature des données qui ont été transmises et sous quelles conditions.

Condamner avant de juger, c'est compliqué. Dans l'hypothèse où il y a une infraction, les personnes peuvent mener une action de groupe pour demander une indemnisation. C'est le cas en Class Action Américaine, c'est aussi le cas en Europe. Il existe une action de groupe en matière de violation de données personnelles depuis le règlement général sur la protection des données. Les régulateurs de la vie privée européens, si des Européens sont impactés et qu'il y a une faute qui a été commise, sont eux aussi compétents dans tous les pays où seraient présents des victimes ou des sociétés mises en cause. Ils peuvent prononcer au maximum une amende pouvant s'élever à 4% du chiffre d'affaire mondial consolidé des contrevenants. 4% du chiffre d'affaire mondial de Google et de MasterCard, ça commence à se compter en dizaines de milliards d'euros. Mais n'allons pas jusque-là, il faudrait à mon sens dans tous les scénarios, même avec une grosse faute, 10 ans avant de savoir qui est coupable. Je peux vous dire que si ce deal a été secret, il a été particulièrement bien protégé. Dans chacun des deux établissements de cette taille là on ne peut pas jouer avec des infractions grossières. Je ne crois pas moi à la "bombe" que constitue cet article. Je pense qu'il y a des choses beaucoup plus fines derrière donc au niveau des sanctions, il faut faire attention quand même sur ce qu'on peut présumer. Donc les personnes peuvent se constituer victimes si elles le veulent et si elles veulent que la justice intervienne dans le pays où elles sont résidentes. Les régulateurs comme les régulateurs de protection des données peuvent se saisir du sujet. Il y a une troisième famille de régulateurs qui est concernée, ce sont les régulateurs bancaires. Si Visa MasterC ard, qui est le standard mondial de paiement par carte bancaire, a commis une faute en droit américain ou en droit d'une autre région, il pourrait risquer de perdre sa licence de fournisseur de moyen de paiement. Ca, je n'y crois pas une seconde car ça consisterait à mettre par terre un moyen de paiement dont plus aucun commerçant ni aucune banque ne peut se passer. Vous imaginez si vous ne pouvez plus payer par Visa Mastercard au motif d'une infraction à la loi ? C'est tous les commerçants qui utilisent Visa Mastercard qui iront pleurer auprès de leur gouvernement pour dire: "soyez indulgents avec eux parce qu'on en a besoin". Donc je ne crois pas au Watergate du moyen de paiement entre Google et Mastercard. Mais ce n'est évidemment pas une affaire neutre. Mais même si l'on peut croire en un mécanisme peu clair, même si ça mérite d'y faire très attention, on ne monte pas un deal comme ça sans être au moins sur le fil d'équilibre entre ce qui est légal et illégal. Le coup caricatural  selon lequel il y a eu un casse de data entre Google et Mastercard, je n'y crois pas. Non pas parce que je suis un bisounours mais parce qu'ils ont des gens qui ont les bons diplômes et la bonne expertise ainsi que les bons moyens pour encadrer ce genre de deal dans les conditions les moins illégales possibles.