Imprimer la page | fermer la fenêtre

Les règles de confidentialité et Google

Publié le 04/04/2012

La publication par Google le 1er mars 2012 de ses nouvelles règles de confidentialité a marqué un nouveau tournant dans les relations mouvementées entre la Commission nationale de l’informatique et des libertés (CNIL) et le géant californien.

La Commission nationale de l’informatique et des libertés (Cnil) et les nouvelles règles de confidentialité de Google

La confrontation dure depuis longtemps déjà et a concerné de nombreuses fonctionnalités proposées par Google telles que le classique moteur de recherche, mais aussi les utilisateurs de Gmail (traitement de données destiné à faire apparaître des publicités en lien avec le contenu des messages envoyés) ou encore la fonctionnalité Google Buzz. Dernièrement, la CNIL a condamné Google à une amende de 100.000 euros (sanction la plus élevée jamais prononcée) pour ses pratiques liées à la collecte massive de données par les « Google Cars » notamment pour alimenter le contenu de la fonctionnalité « Street View ».

De quoi s’agit-il aujourd’hui ?

Dans une lettre adressée le 27 février 2012, la CNIL dresse un premier état des lieux de la conformité des nouvelles règles de confidentialité publiées par Google avec la Directive européenne 95/46 du 24 octobre 1995 sur la protection des données à caractère personnel (1)  (« la Directive »).


Pour la CNIL plusieurs problèmes se posent.


Tout d’abord ces nouvelles règles de confidentialité s’appliquent à l’ensemble des services fournis par Google de manière indifférenciée alors que ces services collectent et traitent des données personnelles de nature et de manière différente.

Pour l’utilisateur moyen, il est donc difficile, voire impossible, à la lecture des ces nouvelles règles, de distinguer quels sont les finalités de la collecte, le type de données collectées, ou les droits d’accès aux données collectées en cause, selon son usage particulier de telle ou telle fonctionnalité proposée par Google.

La CNIL pointe également du doigt l’usage transversal des données collectées à travers tous les services proposés par Google qui serait contraire aux articles 6 et 7 de la Directive.
En effet les nouvelles règles de confidentialité stipulent : « Les informations personnelles que vous fournissez pour l’un de nos services sont susceptibles d’être combinées avec celles issues d’autres services Google (y compris des informations personnelles) ».

Pratiquement, il est très difficile de savoir, y compris pour des professionnels avertis, quelle(s) donnée(s) ou information(s) sont combinées avec quelle(s) fonctionnalité(s) et dans quel(s) but(s).

Enfin, la CNIL formule quelques suggestions d’ordre général pour améliorer la conformité des nouvelles règles avec la Directive. Tout en saluant l’effort de simplification fourni par Google, elle estime que cette simplification ne doit pas s’opérer au détriment de la transparence et de l’exhaustivité et recommande donc que Google adopte une approche « multi-couches » (2) pour chaque service ou fonctionnalité où les règles de bases pourraient être délivrées dans une courte notice (couche n°1) et des informations plus détaillées seraient fournies dans des notices explicatives plus longues (couches 2 et 3).

                         
                           © Andrzej Puchta - Fotolia.com

En tout état de cause, la CNIL sollicitait dans son courrier du 27 février dernier, un report de l’application de ces nouvelles règles de confidentialité. Cela n’a pas été le cas puisqu’elles sont actuellement en vigueur et accessibles (3).

Dans l’intervalle la CNIL a adressé à Google, le 16 mars 2012, une série de 69 questions pour approfondir son analyse et « clarifier les implications de ces nouvelles règles pour les utilisateurs des services Google, qu’ils soient titulaires d’un compte Google, utilisateurs non authentifiés ou utilisateurs passifs des services de Google sur d’autres sites (publicité, mesure d’audience, etc.) (4).
Ces questions (5) abordent le fonctionnement technique du traitement de données mais visent également les problématiques juridiques posées par ces nouvelles règles de confidentialité.


En voici quelques exemples.

La CNIL interroge notamment Google sur sa terminologie. Les différents vocables employés tels que « données », « données personnelles », « informations personnelles », « informations » renvoient-ils tous aux termes « données personnelles » tels que définis dans l’article 2(a) de la Directive ?

Elle demande également à Google de dresser une liste exhaustive de tous les services couverts par les nouvelles règles de confidentialité.

S’agissant des finalités du traitement de données, la CNIL demande à Google des précisions sur la nature des données personnelles collectées lui permettant de « fournir », « entretenir », « protéger » et « améliorer » ses services, « tout en développant de nouveaux services [...] » et également des exemples de données collectées et traitées pour « protéger Google et ses utilisateurs ».

Sur la conservation des données, les nouvelles règles de confidentialité indiquent que, même lorsque l’utilisateur supprime des données, Google « ne supprime pas immédiatement les copies résiduelles se trouvant sur [ses] serveurs actifs ni celles stockées dans [ses] systèmes de sauvegarde ». La CNIL interroge donc légitimement Google sur la question de savoir si les données supprimées le seront effectivement après un certain délai et si oui quel est ce délai.

A propos du consentement de l’utilisateur, la CNIL questionne Google sur la signification de la phrase suivante : « Toute diminution de vos droits dans le cadre des présentes règles de confidentialité ne sauraient être appliquée sans votre consentement exprès. » et demande à Google des exemples de diminution de droits qui pourrait requérir un tel consentement.

Dans ce contexte la CNIL pointe à titre d’exemple l’abandon par Google, dans cette nouvelle version, de la possibilité (existante dans la version antérieure des règles de confidentialité) pour l’utilisateur de refuser que ses données personnelles soient combinées avec d’autres services pour demander à Google si elle considère que le fait de priver l’utilisateur de ce choix constitue, au sens des nouvelles règles de confidentialité en vigueur, « une diminution » des droits de l’utilisateur.

S’agissant de la combinaison des données, la CNIL interroge Google sur la question de savoir si cette combinaison concerne les données d’utilisateurs enregistrés depuis un service authentifié (comme Gmail) et l’utilisation d’un service non authentifié (comme Maps) sur le même navigateur ou ordinateur.

La CNIL aborde également les problématiques liées à la détention d’un « smart phone » utilisant le système d’exploitation open source « Android » (conçu par une start-up rachetée par Google) et notamment la question de l’applicabilité des nouvelles règles de confidentialité aux données personnelles stockées dans ces téléphones mobiles (liste de contacts, numéro de téléphone, SMS, données de localisation, etc.) et accessibles via les applications Google Mobile.

Les réponses de Google sont attendues par la CNIL pour le 5 avril prochain. En tout état de cause, la liste des problématiques dressée par la CNIL de manière extrêmement détaillée constitue une base solide pour le praticien comme pour l’utilisateur, qui souhaite exercer sa vigilance à l’encontre du géant californien.


Index:
(1) http://eur-lex.europa.eu/LexUriServ/LexUriServ.do?uri=CELEX:31995L0046:fr:HTML.
(2) « multi layered approach »
(3) www.google.fr/intl/fr/policies/privacy
(4) http://www.cnil.fr/la-cnil/actualite/article/article/nouvelles-regles-de-confidentialite-de-google-la-cnil-adresse-un-questionnaire-detaille/
(5) http://www.cnil.fr/fileadmin/documents/La_CNIL/actualite/questionnaire_to_Google-2012-03-16.pdf

Cet article n'engage que son auteur.

rechercher

(Ex. : frais divorce)
Rechercher votre conseiller Les professionnels du droit par région
Rechercher un document Actualités, conseils, métiers, articles...


© www.eurojuris.fr - Imprimé le