Essayez de créer un compte Google aujourd'hui et vous risquez de buter sur un mur avant même d'avoir tapé la première lettre de votre nom. L'écran affiche "Vérifier certaines informations avant de créer un compte", montre un QR code et vous demande de le scanner avec l'appareil photo de votre téléphone. Aucun lien à cliquer, aucune solution de repli par e-mail, aucun chemin pour "passer". Pas de smartphone avec un appareil photo fonctionnel, pas de compte. C'est toute l'interaction, et il vaut la peine de s'y arrêter, car elle fait discrètement du téléphone une condition préalable à l'usage du web.

Je vis aux Pays-Bas, dans l'UE, et la formulation de cet écran ("Google a besoin de vérifier certaines informations sur votre appareil ou votre numéro de téléphone") ressemble moins à une fonctionnalité de sécurité qu'à une collecte obligatoire d'identité déguisée en mesure anti-abus. Cet article porte sur l'importance de cette distinction et sur le point où elle se heurte au RGPD.

Ce que l'écran exige réellement

Lisez l'invite au pied de la lettre. Pour créer un compte, on vous demande de :

  • Posséder un smartphone doté d'un appareil photo capable de scanner un QR code.
  • Transférer le processus sur ce téléphone, quitter l'appareil sur lequel vous avez commencé et accomplir des étapes que Google ne vous montre pas d'emblée.
  • Rattacher le nouveau compte à un numéro de téléphone, qui dans la plupart des pays de l'UE est lui-même lié à une identité officielle vérifiée au niveau de la SIM.
  • Plus loin dans le même tunnel, fournir une date de naissance et d'autres données personnelles.

Rien de tout cela n'est une exigence technique pour qu'un compte e-mail fonctionne. Une boîte de réception n'a pas besoin de connaître votre date de naissance, votre modèle de téléphone ni votre opérateur. Ce sont des décisions de collecte, pas des contraintes d'ingénierie, et elles méritent d'être jugées comme des décisions de collecte.

L'argument "anti-abus" en fait beaucoup ici

La justification, c'est la prévention des bots : "empêcher les abus de la part de programmes informatiques ou de bots." C'est un vrai problème, et limiter le débit de création de comptes est légitime. Mais observez la forme du contrôle. Il ne vous demande pas de résoudre une énigme qu'un humain peut résoudre et qu'un script ne peut pas. Il vous demande de présenter un téléphone. Ce qui est vérifié n'est pas "êtes-vous humain", mais "pouvez-vous produire un appareil et un numéro que nous pouvons identifier et corréler."

Ce sont des objectifs différents. Le premier est proportionné à la lutte contre les abus. Le second est de l'établissement de lien d'identité, et une fois qu'un numéro de téléphone est rattaché à l'inscription, il reste rarement confiné à la finalité pour laquelle il a été collecté. Les numéros ajoutés "pour la sécurité" ont une longue histoire de dérive vers le ciblage publicitaire, les graphes sociaux de récupération de compte et la corrélation entre services. Les équipes de sécurité appellent cela la dérive fonctionnelle. Le RGPD appelle cela un problème de limitation des finalités.

Là où cela se heurte au RGPD

Je ne prétends pas qu'un tribunal a jugé ce flux précis illégal. Je pointe les principes qu'une autorité de protection des données pèserait réellement, car ils s'accordent mal avec "scannez ceci ou partez."

Minimisation des données, article 5(1)(c)

Les données personnelles doivent être "adéquates, pertinentes et limitées à ce qui est nécessaire" au regard de la finalité. La finalité ici est de créer un compte e-mail. Un numéro de téléphone et une date de naissance ne sont pas nécessaires au fonctionnement d'une boîte aux lettres, ce qui veut dire que c'est au responsable de traitement de démontrer pourquoi ils sont collectés, et non à l'utilisateur de justifier son refus.

Consentement libre, articles 4(11) et 7(4)

Le consentement n'est valable que s'il est donné librement, et le règlement précise explicitement qu'il faut examiner si un service est rendu conditionnel à un consentement à un traitement qui n'est pas nécessaire à ce service. "Pas de numéro de téléphone, pas de compte" est la définition même du conditionnel. Lorsque la seule alternative au partage de données est l'exclusion totale du service, le "choix" ne pèse pas lourd.

Proportionnalité et nécessité

Même sur une base d'intérêt légitime plutôt que de consentement, le traitement doit passer un test de nécessité et de mise en balance. Forcer chaque utilisateur potentiel à passer par du matériel qu'il ne possède peut-être pas, pour contrer des bots qui ne représentent qu'une fraction des inscriptions, est difficile à qualifier d'option la moins intrusive alors que le CAPTCHA, la confirmation par e-mail et les signaux comportementaux existent déjà et ne nécessitent pas d'appareil photo.

L'exclusion que personne ne conçoit

Il y a un problème plus discret sous celui de la vie privée. Une barrière QR-et-appareil-photo présuppose un utilisateur précis : quelqu'un qui possède un smartphone récent, peut physiquement voir et scanner un code, et accepte de déplacer un processus de création de compte sur un téléphone. Cette hypothèse exclut les personnes qui n'utilisent qu'un ordinateur de bureau, les personnes malvoyantes, les personnes sur téléphones basiques, les personnes qui maintiennent délibérément un équipement minimal, et quiconque ne veut tout simplement pas qu'un téléphone personnel soit câblé à chaque connexion.

"Utilisez simplement un téléphone" n'est pas un paramètre par défaut neutre. C'est une décision de conception qui reporte le coût du problème d'abus de Google sur les utilisateurs, y compris ceux pour qui un smartphone n'est pas acquis. L'accessibilité et la protection des données pointent dans la même direction ici : un service aussi central devrait offrir un chemin qui n'exige pas de posséder un matériel particulier.

Ce que l'UE pourrait réellement faire

Les rouages du RGPD pour contester cela existent déjà. Il n'y a pas besoin d'une nouvelle loi, mais d'une application des principes ci-dessus :

  • Traiter par défaut le numéro de téléphone et la date de naissance à l'inscription comme non nécessaires, et exiger du responsable de traitement qu'il prouve la nécessité plutôt que de l'affirmer.
  • Imposer un véritable chemin alternatif de création de compte qui n'exige ni smartphone ni numéro, sur la logique de conditionnalité de l'article 7(4).
  • Examiner la finalité : si un numéro collecté à des fins anti-abus est ensuite utilisé pour la publicité ou la corrélation, c'est une violation de la limitation des finalités, quelle que soit la formulation de l'écran d'inscription.

Une position coordonnée du CEPD, ou une seule autorité de protection des données déterminée, suffit à imposer une refonte. Nous avons vu exactement ce schéma avec les murs de cookies, où les régulateurs ont fini par juger que "consentez ou partez" n'est pas un vrai consentement. Un mur matériel, c'est le même argument avec un appareil photo en plus.

Ce que vous pouvez faire aujourd'hui

Rien de ce qui précède ne vous aide dans les cinq minutes où vous avez réellement besoin d'un compte, alors concrètement :

  • Utilisez un fournisseur qui n'exige pas de téléphone pour les comptes que vous contrôlez. Plusieurs fournisseurs de messagerie basés dans l'UE traitent le numéro comme optionnel plutôt qu'obligatoire.
  • Séparez identité et commodité. Si vous devez rattacher un numéro quelque part, ne réutilisez pas celui qui ancre vos opérations bancaires et votre identité officielle.
  • Exercez vos droits. Une demande d'accès, et le cas échéant une plainte auprès de votre autorité nationale de protection des données, ne sont pas symboliques. C'est le mécanisme qui transforme les principes ci-dessus en pression.

À retenir

Un mur QR-et-téléphone à la création de compte est vendu comme de la sécurité, mais la donnée qu'il sécurise réellement est la vôtre, remise en guise de prix d'entrée. Dans l'UE, ce prix a un cadre légal : les données doivent être minimisées, le consentement doit être libre, et un service ne peut pas se rendre discrètement conditionnel à la cession d'informations dont il n'a pas besoin pour fonctionner. "Scannez ceci ou vous ne pouvez pas avoir de compte" échoue aux trois de façon évidente. Qu'un régulateur le dise à voix haute relève désormais de la volonté plutôt que de la loi.

À lire ensuite

Vous vous demandez comment les assistants IA traitent les données d'identité et de consentement qu'on leur confie ? Les notes de terrain sur ercan.ai couvrent ce sujet. Pour du conseil en cloud, sécurité et travail de plateforme orienté conformité, commencez par ercanermis.com.