Google épinglée par la CNIL.

Google épinglée par la CNIL.

Après plusieurs mois d’enquête menée par la CNIL sur les nouvelles règles de confidentialité de Google entrées en vigueur le 1er mars dernier, les 27 autorités de protection des données européennes (G29) publient leurs conclusions communes :

 

 

Règles de confidentialité de Google : une information incomplète et une combinaison de données incontrôlées.

 

Google n’a pas fourni de réponses satisfaisantes sur des points essentiels comme la description de tous les traitements de données personnelles qu’il opère ou la liste précise des plus de 60 politiques de confidentialité qui ont été fusionnées dans les nouvelles règles. 

 

Elles demandent à Google d’offrir aux utilisateurs un meilleur contrôle de la combinaison de données entre les nombreux services qu’elle propose. Enfin, elles souhaitent que Google modifie les outils utilisés afin d’éviter une collecte excessive de données.

 

Google ne fournit pas suffisamment d’informations aux utilisateurs sur ses traitements de données personnelles. 

 

Avec les règles actuelles, l’utilisateur d’un service Google est incapable de déterminer quelles sont les données personnelles utilisées pour ce service et les finalités exactes pour lesquelles ces données sont traitées. 

 

Exemple : les règles de confidentialité ne font pas de différence de traitement entre le contenu anodin d’une recherche et le numéro de carte de crédit ou les communications téléphoniques de l’utilisateur ; toutes ces données peuvent être utilisées indifféremment pour toutes les finalités mentionnées dans les règles. 

 

De plus, certains utilisateurs comme les utilisateurs passifs (c’est-à-dire ceux qui interagissent avec des services de Google comme la publicité ou les boutons ‘+1’ à partir de sites tiers), ne disposent d’aucune information. 

 

Les autorités européennes demandent à Google de fournir une information plus claire et plus complète sur les données collectées et les finalités de chacun de ses traitements de données personnelles. 

Les autorités européennes recommandent également la mise en place d’une présentation avec trois niveaux de détails qui assurera une information conforme aux exigences de la Directive sans dégrader l’expérience des utilisateurs. L’ergonomie de la lecture des règles pourrait également être améliorée grâce à des présentations interactives. 

 

Google ne permet pas le contrôle par les utilisateurs de la combinaison de données entre ses nombreux services

 

La combinaison de données entre services a été généralisée avec ces nouvelles règles de confidentialité : concrètement toute activité en ligne liée à Google (l’utilisation de ses services, de son système Android ou la consultation de sites tiers utilisant des services Google) peut être rassemblée et combinée. 

 

La législation européenne de protection des données prévoit un cadre précis pour les traitements de données personnelles. Google doit disposer d’une base légale pour réaliser la combinaison de données pour chacune de ces finalités. La collecte doit également demeurer proportionnée aux finalités poursuivies. Or, pour certaines de ces finalités, notamment la publicité, Google ne peut pas s’appuyer sur le consentement de la personne, l’intérêt légitime de Google ou l’exécution d’un contrat. 

 

Google doit donc modifier ses pratiques quand les données sont combinées pour ces finalités. Il s’agit notamment de : 

 

• renforcer le consentement des personnes pour la combinaison des données pour les finalités d’amélioration de service, de devéloppement de nouveaux services, de publicité et d’analyse de fréquentation. Cela pourrait être fait en donnant la possibilité aux utilisateurs de choisir quand leurs données sont combinées, par exemple avec des boutons dédiés sur les pages des services (cf. bouton "Search Plus Your World") ; 

 

• offrir un meilleur contrôle des utilisateurs sur la combinaison de données en centralisant et simplifiant le droit d’opposition (opt-out) et en leur permettant de choisir pour quels services leurs données sont combinées ; 

 

• adapter les outils utilisés par Google pour la combinaison de données afin de limiter cette combinaison aux finalités autorisées, par exemple en distinguant les outils utilisés pour la sécurité et ceux utilisés pour la publicité. 

 

Google ne précise pas les durées de conservation

 

Google a refusé de s’engager sur des durées de conservation pour les données personnelles qu’il traite. 

 

L’ensemble des recommandations des CNIL européennes a été remis à Google afin de lui permettre de mettre à niveau ses pratiques en matière de politique de confidentialité. Ce courrier est signé individuellement par 27 Autorités de protection des données européennes, ce qui constitue une première et une avancée considérable dans la mobilisation des autorités européennes. 

 

Plusieurs de ces recommandations sont également soutenues par des autorités membres de l’APPA (Asia Pacific Privacy Authorities) et la Commissaire à la protection de la vie privée du Canada a fait part des préoccupations similaires au sujet de diverses activités de Google. 

 

 

La CNIL, l’ensemble des autorités de protection des données européennes et les autorités d’autres régions du monde attendent de Google qu’il prenne des mesures effectives et publiques pour se mettre en conformité rapidement et s’engage sur la mise en œuvre de ces recommandations. La CNIL estime que Google n’est pas "en conformité avec la législation européenne", et lui donne "trois à quatre mois" pour changer sous peine de sanction pécuniaire.

Reste que pour l’heure, Google balaie les critiques en affirmant que sa "politique de confidentialité respectent la loi européenne".

Source : CNIL, Nouvel Obs