La nouvelle “stratégie de confidentialité” de Google: vers un oubli du droit des données à caractère personnel?
Le 24 janvier 2012, Google annonçait la fusion de ses plus de 60 politiques de confidentialité qui couvraient ses différents services.
Une telle refonte, sous couvert d’un objectif affiché de
simplification, sous-tend, avant tout, la consécration de la combinaison des
données générées par ses utilisateurs, permettant ainsi d’obtenir des profils de plus en plus qualifiés ainsi
qu’une publicité ciblée étendue et généralisée.
Véritable pied de nez aux principes européens de
protection des données à caractère personnel, l’annonce est intervenue la
veille de la présentation du
Projet de Règlement européen sur la protection de données.
Face à ce que l’on pourrait qualifier de nouvelle “stratégie de confidentialité” de la
part de Google, le G29, organe européen indépendant, rassemblant les autorités
de contrôle du droit des données à caractère personnel, a mandaté la Commission
Nationale Informatique et Libertés (CNIL) en vue de procéder à un audit de ces
nouvelles règles.
Après sept mois de travail, le 16 octobre 2012, la CNIL a
rendu public ses observations et recommandations.
Sans surprise, le rapport souligne les carences et imprécisions de la firme
américaine au regard des règles européennes de protection des données.
Trois catégories de manquements sont mises en avant :
l’information auprès des utilisateurs, l’interconnexion des services ainsi que
la durée de conservation des données.
La CNIL reproche tout d’abord à Google un déficit
d'information auprès de ses utilisateurs. Ainsi, plusieurs finalités
poursuivies par Google sont dépourvues de tout fondement juridique, le
consommateur n’étant pas invité à donner son consentement pour la poursuite de
ces finalités peu claires au demeurant.
Par ailleurs, les utilisateurs n'ont pas toujours
conscience que leurs données sont associées d’un service à l’autre. Or, quelque
soit la finalité, la combinaison de données entre services doit respecter les
principes de proportionnalité, de limitation des finalités, de minimisation des
données et du droit d’opposition.
Enfin, la CNIL déplore que Google ne prévoit aucune
limitation de durée pour les données collectées. Cette position fragilise la
mise en œuvre du droit de suppression des données ainsi que du principe
d’opt-out.
Face à ces recommandations, la société américaine dispose
de quatre mois pour prendre position. Si Google n’apportait pas de réponses
satisfaisantes, une phase contentieuse pourrait être mise en oeuvre par les
autorités nationales de protection des données.
Alors que l’Europe souhaite inscrire le droit à l’oubli
parmi les principes essentiels du droit européen de la protection des données
personnelles, Google, par l’annonce de sa nouvelle politique de
confidentialité, semble consacrer son propre « marché unique »,
combinant l’ensemble de ses services et surtout les précieuses données générées
par ses utilisateurs, au détriment des droits de ces derniers.