Message de l’UE à Google : gare à la réglementation sur la protection des données personnelles !
Google vient d'écoper d'une amende de 145 000 € en Allemagne pour avoir collecté des données personnelles via ses véhicules dédiés à Google Street View. Et reste sous le coup d'une autre plainte émanant de la Commission européenne, qui pourrait lui coûter bien plus cher.
Google s’est récemment vu
infliger en Allemagne une amende de 145 000 € pour avoir collecté des données
personnelles via sa flotte de véhicules dédiés à son programme Google Street
View. Car en plus de photographier les rues et les bâtiments pour son service,
Google a également utilisé ses voitures pour scanner les réseaux WiFi et
récupérer les données circulant sur ceux qui n’étaient pas protégés. En France,le même procédé avait déjà valu une amende de 100 000 € à Google de la part de la CNIL.
Ces amendes peuvent paraître bien
faibles quand on regarde en détails les résultats financiers du géant mondial
de l’Internet. Oui mais voilà, en matière de protection des données, Google a
une véritable épée de Damoclès au dessus de sa tête qui cette fois pourrait
être bien plus importante. Une autre plainte émanant de la Commission
européenne à l’encontre de Google approche en effet de sa conclusion, et on dispose
désormais d’un élément tangible pour convaincre les sceptiques que les
questions relatives à la réglementation des données doivent être prises au
sérieux.
Lorsque Google a modifié sa
politique de confidentialité début 2012, les détails ont été examinés par les
organismes de réglementation européens. Si Google a considéré qu’il simplifiait
les choses pour les consommateurs grâce à une politique unique couvrant tous
ses services web, d’autres ont eu un sentiment un peu différent. Le
« Groupe de travail Article 29 sur la protection des données » (ou
G29), est chargé de conseiller la Commission européenne sur les règles de
sécurité des données et de confidentialité, contenues dans la Directive
sur la protection des données (ou DPD). Fin 2012, il a émis une réclamation
à l’encontre de Google, et adressé une lettre à Monsieur Page.
Les membres du G29 y indiquent,
avec toute la clarté souhaitable, que l’entreprise du célèbre moteur de
recherche éponyme n’a pas fait assez pour se conformer aux règles de la DPD sur
la confidentialité des consommateurs.
Les spécialistes de la sécurité,
les gourous de la conformité, les PDG et autres parties prenantes
n’accéderaient, en temps normal, aux détails de cette affaire
technico-juridique que dans des publications spécialisées ou dans les dernières
pages de certaines publications économiques, voire sur le blog d’un acteur
important de la gouvernance des données. Comme il s’agit de Google, et que l’UE
semble vouloir aller
jusqu’au bout — en d’autres termes jusqu’à des amendes —, l’affaire gagne
en importance et apparaît de façon plus visible dans les pages économiques des magazines grand
public.
Vous pouvez lire la longue liste
des imperfections de Google dressée par
l’organisme de réglementation, qu’ils ont soulignées en gras. Voici quelques
unes des expressions utilisées : « pas de consentement valide »,
« informations incomplètes ou approximatives », ainsi que « les
périodes de rétention doivent être adaptées à l’objectif ».
Quoi !? L’UE — plus
précisément les autorités de protection des données des pays membres, sous la
présidence de la CNIL française — va mettre à l’amende un fournisseur de
service en ligne américain de premier plan à cause de... sa politique de
rétention des données ?
Bien sûr, disposer de règles et
de procédures de rétention des données — quoi conserver, quoi archiver — relève
du bon sens informatique. Mais vous vous dites peut-être que le fait pour une
entreprise de ne pas avoir de dispositions explicites de rétention ou de
migration des données ne signifie pas qu’elle ait violé la loi.
En fait, l’UE n’est pas seule à
prendre cette procédure informatique au sérieux. Des limites de rétention des
données apparaissent aussi dans les règles pour les données de santé personnelle de l’HIPAA
américain et dans certaines réglementations sur la sécurité des données
financières. Mais généralement les limites — qui se chiffrent en années —
correspondent à la durée pendant laquelle un document électronique doit être
conservé.
L’UE, au contraire, envisage le
recueil et la rétention des données dans une perspective de réduction des
données au minimum : les entreprises doivent stocker le minimum de données
personnelles et limiter la durée à ce qui « doit être adapté aux buts
poursuivis ». C’est ce que dit essentiellement la DPD. En d’autres termes,
il n’est pas possible de conserver des données personnelles de consommateurs à
moins qu’il existe une raison opérationnelle légitime. Dans ce cas il est
impératif de spécifier cette raison et de préciser combien de temps les données
seront conservées.
Selon la CNIL
française, Google a pour l’instant refusé
de fournir des informations sur les politiques de rétention des données, une
fois que la demande a été adressée à l’entreprise.
Et la Commission européenne a
indiqué clairement que la non-observation de ces règles aurait des
conséquences. À combien pourraient se chiffrer les amendes pour violation,
délibérée ou non, de la DPD ? La présidence de la Commission indique que
ces amendes pourraient aller jusqu’à 23 % du chiffre d’affaires global.
L’an passé, Google a eu un chiffre d’affaires de 45 milliards de dollars. Je vous laisse calculer ce que coûte de ne pas prendre au sérieux la conformité à la réglementation sur les données.