La CNIL se penche à nouveau sur le cas Google
Google est régulièrement stigmatisé pour sa gestion des données personnelles de ses clients. Ces derniers ignorent souvent qu'il existe une contrepartie à la gratuité apparente des services du géant de Mountain View !
En l'occurrence, certaines données à caractère
personnel les concernant sont exploitées par Google, notamment à des fins de
ciblage publicitaire. C'est ainsi que les requêtes lancées sur le moteur de
recherche Google, les numéros de cartes de crédit, voire les appels passés par
l'utilisateur d'un appareil Android, le système d'exploitation maison de
Google, sont collectés et stockés par cette dernière, qui peut ainsi dresser un
profil publicitaire de ses clients.
Si Google a d'ores et déjà mis en place des outils
permettant aux utilisateurs de ses services de mieux contrôler les données à
caractère personnel qui sont collectées, notamment par le biais du service
Dashboard, il lui est apparu nécessaire de fondre en un seul document des
règles de confidentialité assez disparates qui s'appliquaient naguère aux
différents services proposés (YouTube, Gmail, etc.).
C'est ainsi que, le 1er mars dernier, de
nouvelles conditions de confidentialité sont entrées en vigueur et ont
immédiatement suscité des interrogations de la part des différentes commissions
nationales de protection des données à caractère personnel en Europe. La CNIL
française a été mandatée par le Groupe de l'Article 29 pour conduire une
enquête sur ces nouvelles règles. Après avoir posé plusieurs questions à
Google, la CNIL a remis ses conclusions le 16 octobre 2012.
Schématiquement, la CNIL considère que Google ne
semble pas se conformer parfaitement aux principes essentiels posés par la
directive de 1995 sur la protection des données à caractère personnel.
En particulier, la CNIL estime que le principe de
finalité, l'un des piliers de la directive, n'est pas respecté. Selon ce
principe, toute collecte et tout traitement de données à caractère personnel
doivent avoir lieu dans un but précis. Or Google procède régulièrement à des
croisements de données collectées par des biais différents, à l'occasion de
services ayant des finalités différentes, sans avoir préalablement obtenu le
consentement des personnes concernées. Cette "combinaison de données entre services" s'oppose
notamment à l'article 25 de la loi Informatique & Libertés du 6 janvier 1978, relatif à l'interconnexion de fichiers, et qui suppose dans certains cas
une autorisation de la CNIL.
De même, la CNIL constate que Google a refusé de
s'engager sur une limitation de la durée de conservation des données, alors que
l'un des principes de la législation applicable porte précisément sur la
limitation des données collectées et stockées. Il a ainsi été remis à Google un
courrier signé par 27 autorités européennes de protection des données
personnelles, destiné à demander au leader de la recherche sur internet de
mettre à niveau ses pratiques en matière de politique de confidentialité.
Enfin, la CNIL reproche à Google de trop peu
informer ses utilisateurs quant à l'utilisation qui est faite de leurs données.
Si l'utilisation de conditions de confidentialité plus courtes procède d'une
bonne intention, en revanche cela ne doit pas nuire à la qualité de
l'information délivrée.
De manière générale, la CNIL a demandé à Google de
modifier ses pratiques, en renforçant l'exigence d'obtention du consentement
des personnes dont les données sont collectées, en offrant un meilleur contrôle
des utilisateurs sur la combinaison de données (notamment en leur permettant de
s'y opposer) et en limitant en tout état de cause cette combinaison aux seules
finalités autorisées.
Plus largement encore, c'est l'ensemble des acteurs
de l'internet qui sont concernés par ces recommandations. La lumière est
évidemment portée sur Google en raison du statut incontournable de cette
dernière. Mais le rappel de la CNIL et de ses homologues européennes peut tout
aussi bien s'appliquer à Facebook, par exemple, dont on a conté récemment les
déboires sur le même sujet, avec le fameux "bug" dont on ignore s'il
a bien eu lieu ou non. La protection des données à caractère personnel
constitue bel et bien un enjeu fondamental sur internet aujourd'hui.