La nouvelle “stratégie de confidentialité” de Google: vers un oubli du droit des données à caractère personnel?

Le 24 janvier 2012, Google annonçait la fusion de ses plus de 60 politiques de confidentialité qui couvraient ses différents services.

Une telle refonte, sous couvert d’un objectif affiché de simplification, sous-tend, avant tout, la consécration de la combinaison des données générées par ses utilisateurs, permettant ainsi d’obtenir des profils de plus en plus qualifiés ainsi qu’une publicité ciblée étendue et généralisée.
Véritable pied de nez aux principes européens de protection des données à caractère personnel, l’annonce est intervenue la veille de la présentation du Projet de Règlement européen sur la protection de données.
Face à ce que l’on pourrait qualifier de nouvelle “stratégie de confidentialité” de la part de Google, le G29, organe européen indépendant, rassemblant les autorités de contrôle du droit des données à caractère personnel, a mandaté la Commission Nationale Informatique et Libertés (CNIL) en vue de procéder à un audit de ces nouvelles règles.
Après sept mois de travail, le 16 octobre 2012, la CNIL a rendu public ses observations et recommandations. Sans surprise, le rapport souligne les carences et imprécisions de la firme américaine au regard des règles européennes de protection des données.
Trois catégories de manquements sont mises en avant : l’information auprès des utilisateurs, l’interconnexion des services ainsi que la durée de conservation des données.
La CNIL reproche tout d’abord à Google un déficit d'information auprès de ses utilisateurs. Ainsi, plusieurs finalités poursuivies par Google sont dépourvues de tout fondement juridique, le consommateur n’étant pas invité à donner son consentement pour la poursuite de ces finalités peu claires au demeurant.
Par ailleurs, les utilisateurs n'ont pas toujours conscience que leurs données sont associées d’un service à l’autre. Or, quelque soit la finalité, la combinaison de données entre services doit respecter les principes de proportionnalité, de limitation des finalités, de minimisation des données et du droit d’opposition.
Enfin, la CNIL déplore que Google ne prévoit aucune limitation de durée pour les données collectées. Cette position fragilise la mise en œuvre du droit de suppression des données ainsi que du principe d’opt-out.
Face à ces recommandations, la société américaine dispose de quatre mois pour prendre position. Si Google n’apportait pas de réponses satisfaisantes, une phase contentieuse pourrait être mise en oeuvre par les autorités nationales de protection des données.
Alors que l’Europe souhaite inscrire le droit à l’oubli parmi les principes essentiels du droit européen de la protection des données personnelles, Google, par l’annonce de sa nouvelle politique de confidentialité, semble consacrer son propre « marché unique », combinant l’ensemble de ses services et surtout les précieuses données générées par ses utilisateurs, au détriment des droits de ces derniers.