La CNIL se penche à nouveau sur le cas Google

Google est régulièrement stigmatisé pour sa gestion des données personnelles de ses clients. Ces derniers ignorent souvent qu'il existe une contrepartie à la gratuité apparente des services du géant de Mountain View !

En l'occurrence, certaines données à caractère personnel les concernant sont exploitées par Google, notamment à des fins de ciblage publicitaire. C'est ainsi que les requêtes lancées sur le moteur de recherche Google, les numéros de cartes de crédit, voire les appels passés par l'utilisateur d'un appareil Android, le système d'exploitation maison de Google, sont collectés et stockés par cette dernière, qui peut ainsi dresser un profil publicitaire de ses clients.
Si Google a d'ores et déjà mis en place des outils permettant aux utilisateurs de ses services de mieux contrôler les données à caractère personnel qui sont collectées, notamment par le biais du service Dashboard, il lui est apparu nécessaire de fondre en un seul document des règles de confidentialité assez disparates qui s'appliquaient naguère aux différents services proposés (YouTube, Gmail, etc.).
C'est ainsi que, le 1er mars dernier, de nouvelles conditions de confidentialité sont entrées en vigueur et ont immédiatement suscité des interrogations de la part des différentes commissions nationales de protection des données à caractère personnel en Europe. La CNIL française a été mandatée par le Groupe de l'Article 29 pour conduire une enquête sur ces nouvelles règles. Après avoir posé plusieurs questions à Google, la CNIL a remis ses conclusions le 16 octobre 2012.
Schématiquement, la CNIL considère que Google ne semble pas se conformer parfaitement aux principes essentiels posés par la directive de 1995 sur la protection des données à caractère personnel.
En particulier, la CNIL estime que le principe de finalité, l'un des piliers de la directive, n'est pas respecté. Selon ce principe, toute collecte et tout traitement de données à caractère personnel doivent avoir lieu dans un but précis. Or Google procède régulièrement à des croisements de données collectées par des biais différents, à l'occasion de services ayant des finalités différentes, sans avoir préalablement obtenu le consentement des personnes concernées. Cette "combinaison de données entre services" s'oppose notamment à l'article 25 de la loi Informatique & Libertés du 6 janvier 1978, relatif à l'interconnexion de fichiers, et qui suppose dans certains cas une autorisation de la CNIL.
De même, la CNIL constate que Google a refusé de s'engager sur une limitation de la durée de conservation des données, alors que l'un des principes de la législation applicable porte précisément sur la limitation des données collectées et stockées. Il a ainsi été remis à Google un courrier signé par 27 autorités européennes de protection des données personnelles, destiné à demander au leader de la recherche sur internet de mettre à niveau ses pratiques en matière de politique de confidentialité.
Enfin, la CNIL reproche à Google de trop peu informer ses utilisateurs quant à l'utilisation qui est faite de leurs données. Si l'utilisation de conditions de confidentialité plus courtes procède d'une bonne intention, en revanche cela ne doit pas nuire à la qualité de l'information délivrée.
De manière générale, la CNIL a demandé à Google de modifier ses pratiques, en renforçant l'exigence d'obtention du consentement des personnes dont les données sont collectées, en offrant un meilleur contrôle des utilisateurs sur la combinaison de données (notamment en leur permettant de s'y opposer) et en limitant en tout état de cause cette combinaison aux seules finalités autorisées.
Plus largement encore, c'est l'ensemble des acteurs de l'internet qui sont concernés par ces recommandations. La lumière est évidemment portée sur Google en raison du statut incontournable de cette dernière. Mais le rappel de la CNIL et de ses homologues européennes peut tout aussi bien s'appliquer à Facebook, par exemple, dont on a conté récemment les déboires sur le même sujet, avec le fameux "bug" dont on ignore s'il a bien eu lieu ou non. La protection des données à caractère personnel constitue bel et bien un enjeu fondamental sur internet aujourd'hui.