ePrivacy : […] à partir du moment où vous opérez un système de communication (au sens ePrivacy, donc « ‘communication’ means any information exchanged or conveyed between a finite number of parties by means of a publicly available electronic communications service », donc méga large) vous ne pouvez traiter le contenu des données échangées pour un quelconque usage tiers à la simple transmission à votre propre client. Toute finalité annexe nécessitant le traitement de la donnée véhiculée relève du seul et unique consentement de votre utilisateur, qui doit du coup être explicite, libre, positif et révocable. Sans perte du service initial en cas de refus donc.
D'où GMail soumet au consentement ses « smart features » (onglets, autocomplétion, suggestion de réponse, ces deux dernières nécessitant un apprentissage sur un corpus d'emails). Idem pour Facebook et ses réponses personnalisées.
Je doutais, mais on retrouve ça chez Clubic et à la BBC.
A priori, la publicité ciblée dans GMail repose donc sur le seul consentement, ou sur l'absence d'analyse des emails (cf. article de la BBC).
Concernant l'analyse des conversations privées à la GMail pour y dénicher du pédoporn : elle est bien interdite par ePrivacy, cf. article 1, article 2.
Pour ceux qui se demandent pourquoi c'est tombé le 21 décembre 2020 alors que la directive ePrivacy date de 2002 : la directive européenne 2018/1972 établissant le Code des communications électroniques européen a fait, entre autres, entrer les services de communication "over the top" (sans numérotation) dans le giron de la directive ePrivacy.
Du coup, le règlement européen 2021/1232 est venu poser une dérogation : les communications privées peuvent être inspectées pour motif pédoporn. Voir aussi.
Résumé : l'analyse des conversations par un opérateur OTT était autorisée car hors périmètre de la directive ePrivacy (avant décembre 2020), puis interdite car ces services sont désormais couverts par la directive (entre décembre 2020 et juillet 2021), puis autorisé par dérogation, en attendant un nouveau règlement européen. Ça veut dire que dans l'intervalle, on fait confiance à des entités privées et on leur délègue un taff de surveillance sans fixer de règles… Ça valide intrinsèquement la manière de faire d'acteurs privés et l'importance de leur taff…