François Charlet

Actualités, opinions et analyses juridiques et technologiques internationales et suisses

Un jury californien juge Google coupable de violations de la vie privée

06/09/2025 6 Min. lecture Droit François Charlet

Dans un verdict rendu le 3 septembre 2025, un jury fédéral de San Francisco a condamné Google LLC à verser 425,7 millions de dollars de dommages-intérêts compensatoires pour violation des droits à la vie privée de près de 100 millions d’utilisateurs dans l’affaire Anibal Rodriguez et al v. Google LLC et al (3:20-cv-04688). Le jury de huit personnes a déterminé que Google avait violé les assurances de confidentialité sous son paramètre «Web & App Activity», considéré comme une tromperie systématique sur les contrôles de confidentialité proposés aux utilisateurs.

Faits

L’affaire trouve son origine dans les pratiques de collecte de données de Google via son kit de développement logiciel Firebase SDK. Selon la plainte, elle découle de «l’interception et la collecte illégales et intentionnelles des communications confidentielles et des données des individus sans leur connaissance ou consentement, même lorsque ces individus suivent expressément les recommandations des défendeurs» pour désactiver le suivi.

Google accomplit «cette interception, ce suivi et cette collecte de données sournois et illégaux de l’activité des utilisateurs d’applications via son Firebase SDK», qui est «une suite d’outils logiciels qui prétend fournir des fonctionnalités supplémentaires à une application, en particulier si elle doit être publiée pour Android». Le problème technique central réside dans le fait que Firebase SDK «permet à Google d’intercepter, de suivre et de collecter automatiquement et systématiquement les données d’activité des applications de leurs utilisateurs, que ces utilisateurs aient ou non désactivé “Web & App Activity” dans leurs paramètres»

Les pratiques de collecte de données sous-jacentes se sont déroulées sur une période de huit ans après que les utilisateurs avaient désactivé le partage de données dans les paramètres, touchant des applications tierces populaires comme Lyft, Venmo, Shazam, The New York Times et Duolingo.

Les demandeurs soutenaient que Google avait créé un système trompeur de contrôles de confidentialité. Ils alléguaient que «les promesses de confidentialité et les assurances de Google sont des mensonges flagrants» et que «Google intercepte, suit, collecte et vend en fait l’historique de navigation et les données d’activité des applications mobiles des consommateurs, quelles que soient les mesures de protection ou les “paramètres de confidentialité” que les consommateurs entreprennent pour protéger leur vie privée».

Google, de son côté, défendait ses pratiques de données en affirmant que les données collectées étaient «non personnelles, pseudonymes et stockées dans des emplacements séparés, sécurisés et cryptés» et que les données n’étaient pas associées aux comptes Google des utilisateurs ou à l’identité d’un utilisateur individuel. L’entreprise argumentait qu’il n’était pas logique de croire que désactiver Web & App Activity stopperait complètement toute collecte de données.

Le point de désaccord portait essentiellement sur l’interprétation des contrôles de confidentialité de Google et sur la question de savoir si les utilisateurs avaient été correctement informés de la collecte continue de données via Firebase SDK.

Droit

Le jury a appliqué le droit californien pour évaluer les violations de la vie privée, se concentrant sur deux chefs d’accusation principaux. Le jury a conclu que Google était responsable de deux des trois chefs d’accusation de violations de la vie privée présentés par les demandeurs.

Le jury a cependant déterminé que Google n’avait pas agi avec malveillance, ce qui signifie qu’elle ne s’est pas vu infliger des dommages-intérêts punitifs.

Dans une ordonnance préalable au procès du 21 février 2025, le juge en chef Richard Seeborg avait limité le témoignage d’expert des demandeurs, déclarant: «les jurés peuvent s’appuyer sur le rapport initial de Lasinski pour tirer leurs propres conclusions quant à savoir si les dommages réels dépassent son plancher initial conservateur». Cette limitation a contraint l’évaluation des dommages à un cadre plus conservateur basé sur un paiement de 3 dollars par appareil affecté.

Le verdict de 425,7 millions de dollars en dommages-intérêts compensatoires représente l’un des plus importants règlements de confidentialité contre une entreprise technologique, bien qu’il soit significativement inférieur aux 31 milliards de dollars initialement demandés par les demandeurs.

Google a annoncé son intention de faire appel du verdict.

Cette décision s’inscrit dans un contexte plus large de litiges de confidentialité contre Google. L’entreprise avait résolu un différend de confidentialité séparé avec les régulateurs de l’État du Texas pour près de 1,4 milliard de dollars plus tôt en 2025. En Europe, la CNIL a infligé à Google une amende de 325 millions d’euros en septembre 2025.

La portée jurisprudentielle de cette décision réside dans l’établissement d’un précédent concernant l’évaluation des mécanismes d’opt-out et des cadres de consentement des utilisateurs. Cette décision signale un changement fondamental dans la façon dont les tribunaux appliquent les droits à la vie privée numérique et tiennent les entreprises technologiques responsables de pratiques de collecte de données trompeuses.

Note sur le droit californien

En droit californien, l’intrusion upon seclusion est une forme d’atteinte à la vie privée qui se produit lorsqu’une personne s’immisce intentionnellement dans les affaires privées ou la solitude d’une autre personne d’une manière qui serait hautement offensante pour une personne raisonnable. Ce délit civil protège le droit d’un individu à être laissé tranquille (right to be left alone) et à préserver la confidentialité de ses affaires privées.

Pour établir une plainte pour atteinte à la vie privée en Californie, les éléments suivants doivent généralement être prouvés:

  • Intrusion intentionnelle: le défendeur doit avoir intentionnellement porté atteinte à la vie privée du plaignant.
  • Attente raisonnable en matière de vie privée: le plaignant doit avoir eu une attente raisonnable en matière de vie privée dans le lieu ou l’affaire qui a fait l’objet de l’intrusion.
  • Intrusion hautement offensante: l’intrusion doit avoir été commise d’une manière qui serait considérée comme hautement offensante pour une personne raisonnable.

Voici quelques exemples d’actions pouvant constituer une intrusion upon seclusion:

  • Surveillance illégale:
    • Enregistrer secrètement des conversations dans un cadre privé où il existe une attente raisonnable en matière de vie privée.
    • Utilisation de caméras cachées ou de dispositifs d’écoute dans des espaces privés tels que les salles de bains ou les chambres à coucher.
    • Espionnage dans le domicile ou la propriété privée d’une personne sans son consentement.
  • Accès non autorisé à des informations privées:
    • Accès illégal au courrier privé ou aux communications électroniques d’une personne.
    • Fouille sans autorisation dans les dossiers financiers ou médicaux personnels.
  • Intrusion physique:
    • Pénétrer sans autorisation dans une propriété privée dans le but d’observer ou d’enregistrer des activités privées.
    • Pénétrer sans autorisation dans le domicile ou le bureau privé d’une personne afin de rechercher ou d’examiner des effets personnels.

Il est important de noter que le facteur clé pour déterminer si une intrusion est passible de poursuites judiciaires est de savoir si elle serait hautement offensante pour une personne raisonnable et s’il existait une attente raisonnable en matière de vie privée au moment de l’intrusion.

Le caractère hautement offensant de la violation implique d’avoir causé au plaignant plus qu’un simple embarras ou un simple inconfort. En d’autres termes, le type d’intrusion doit être si offensant que pratiquement n’importe qui en serait bouleversé. Cela exclurait également les plaintes déposées par des personnes qui pourraient être hypersensibles d’une manière ou d’une autre. En effet, celles-ci pourraient se sentir bouleversées dans des situations où une personne moyenne ou raisonnable ne le serait pas.

Par exemple, un pompier peut «s’introduire» dans une maison privée pour enquêter sur de la fumée visible provenant d’un incendie potentiel. Mais s’agit-il d’une intrusion déraisonnable? Il peut avoir un intérêt public légitime pour la sécurité des occupants. Il peut même tenter d’empêcher la mort injustifiée d’une victime innocente d’un pyromane. Sa profession lui donne également plus de raisons et de capacités d’intervenir que d’autres personnes. Peu importe à quel point l’occupant de la maison peut se sentir «offensé», le pompier a probablement une base légale et raisonnable pour entrer dans la maison. (Source)

Jurisprudence Vie Privée
© 2008 - 2025 François Charlet
This work is licensed under a Creative Commons Attribution 4.0 International License