Message de l’UE à Google : gare à la réglementation sur la protection des données personnelles !

Google vient d'écoper d'une amende de 145 000 € en Allemagne pour avoir collecté des données personnelles via ses véhicules dédiés à Google Street View. Et reste sous le coup d'une autre plainte émanant de la Commission européenne, qui pourrait lui coûter bien plus cher.

Google s’est récemment vu infliger en Allemagne une amende de 145 000 € pour avoir collecté des données personnelles via sa flotte de véhicules dédiés à son programme Google Street View. Car en plus de photographier les rues et les bâtiments pour son service, Google a également utilisé ses voitures pour scanner les réseaux WiFi et récupérer les données circulant sur ceux qui n’étaient pas protégés. En France,le même procédé avait déjà valu une amende de 100 000 € à Google de la part de la CNIL.
Ces amendes peuvent paraître bien faibles quand on regarde en détails les résultats financiers du géant mondial de l’Internet. Oui mais voilà, en matière de protection des données, Google a une véritable épée de Damoclès au dessus de sa tête qui cette fois pourrait être bien plus importante. Une autre plainte émanant de la Commission européenne à l’encontre de Google approche en effet de sa conclusion, et on dispose désormais d’un élément tangible pour convaincre les sceptiques que les questions relatives à la réglementation des données doivent être prises au sérieux.
Lorsque Google a modifié sa politique de confidentialité début 2012, les détails ont été examinés par les organismes de réglementation européens. Si Google a considéré qu’il simplifiait les choses pour les consommateurs grâce à une politique unique couvrant tous ses services web, d’autres ont eu un sentiment un peu différent. Le « Groupe de travail Article 29 sur la protection des données » (ou G29), est chargé de conseiller la Commission européenne sur les règles de sécurité des données et de confidentialité, contenues dans la Directive sur la protection des données (ou DPD). Fin 2012, il a émis une réclamation à l’encontre de Google, et adressé une lettre à Monsieur Page.
Les membres du G29 y indiquent, avec toute la clarté souhaitable, que l’entreprise du célèbre moteur de recherche éponyme n’a pas fait assez pour se conformer aux règles de la DPD sur la confidentialité des consommateurs.
Les spécialistes de la sécurité, les gourous de la conformité, les PDG et autres parties prenantes n’accéderaient, en temps normal, aux détails de cette affaire technico-juridique que dans des publications spécialisées ou dans les dernières pages de certaines publications économiques, voire sur le blog d’un acteur important de la gouvernance des données. Comme il s’agit de Google, et que l’UE semble vouloir aller jusqu’au bout — en d’autres termes jusqu’à des amendes —, l’affaire gagne en importance et apparaît de façon plus visible dans les pages économiques des magazines grand public.
Vous pouvez lire la longue liste des imperfections de Google dressée par l’organisme de réglementation, qu’ils ont soulignées en gras. Voici quelques unes des expressions utilisées : « pas de consentement valide », « informations incomplètes ou approximatives », ainsi que « les périodes de rétention doivent être adaptées à l’objectif ».
Quoi !? L’UE — plus précisément les autorités de protection des données des pays membres, sous la présidence de la CNIL française — va mettre à l’amende un fournisseur de service en ligne américain de premier plan à cause de... sa politique de rétention des données ?
Bien sûr, disposer de règles et de procédures de rétention des données — quoi conserver, quoi archiver — relève du bon sens informatique. Mais vous vous dites peut-être que le fait pour une entreprise de ne pas avoir de dispositions explicites de rétention ou de migration des données ne signifie pas qu’elle ait violé la loi.

En fait, l’UE n’est pas seule à prendre cette procédure informatique au sérieux. Des limites de rétention des données apparaissent aussi dans les règles pour les données de santé personnelle de l’HIPAA américain et dans certaines réglementations sur la sécurité des données financières. Mais généralement les limites — qui se chiffrent en années — correspondent à la durée pendant laquelle un document électronique doit être conservé.
L’UE, au contraire, envisage le recueil et la rétention des données dans une perspective de réduction des données au minimum : les entreprises doivent stocker le minimum de données personnelles et limiter la durée à ce qui « doit être adapté aux buts poursuivis ». C’est ce que dit essentiellement la DPD. En d’autres termes, il n’est pas possible de conserver des données personnelles de consommateurs à moins qu’il existe une raison opérationnelle légitime. Dans ce cas il est impératif de spécifier cette raison et de préciser combien de temps les données seront conservées.
Selon la CNIL française, Google a pour l’instant refusé de fournir des informations sur les politiques de rétention des données, une fois que la demande a été adressée à l’entreprise.
Et la Commission européenne a indiqué clairement que la non-observation de ces règles aurait des conséquences. À combien pourraient se chiffrer les amendes pour violation, délibérée ou non, de la DPD ? La présidence de la Commission indique que ces amendes pourraient aller jusqu’à 23 % du chiffre d’affaires global.

L’an passé, Google a eu un chiffre d’affaires de 45 milliards de dollars. Je vous laisse calculer ce que coûte de ne pas prendre au sérieux la conformité à la réglementation sur les données.