Les règles de confidentialité et Google
Publié le :
04/04/2012
04
avril
avr.
04
2012
La publication par Google le 1er mars 2012 de ses nouvelles règles de confidentialité a marqué un nouveau tournant dans les relations mouvementées entre la Commission nationale de l’informatique et des libertés (CNIL) et le géant californien.
La Commission nationale de l’informatique et des libertés (Cnil) et les nouvelles règles de confidentialité de GoogleLa confrontation dure depuis longtemps déjà et a concerné de nombreuses fonctionnalités proposées par Google telles que le classique moteur de recherche, mais aussi les utilisateurs de Gmail (traitement de données destiné à faire apparaître des publicités en lien avec le contenu des messages envoyés) ou encore la fonctionnalité Google Buzz. Dernièrement, la CNIL a condamné Google à une amende de 100.000 euros (sanction la plus élevée jamais prononcée) pour ses pratiques liées à la collecte massive de données par les « Google Cars » notamment pour alimenter le contenu de la fonctionnalité « Street View ».
De quoi s’agit-il aujourd’hui ?
Dans une lettre adressée le 27 février 2012, la CNIL dresse un premier état des lieux de la conformité des nouvelles règles de confidentialité publiées par Google avec la Directive européenne 95/46 du 24 octobre 1995 sur la protection des données à caractère personnel (1) (« la Directive »).
Pour la CNIL plusieurs problèmes se posent.
Tout d’abord ces nouvelles règles de confidentialité s’appliquent à l’ensemble des services fournis par Google de manière indifférenciée alors que ces services collectent et traitent des données personnelles de nature et de manière différente.
Pour l’utilisateur moyen, il est donc difficile, voire impossible, à la lecture des ces nouvelles règles, de distinguer quels sont les finalités de la collecte, le type de données collectées, ou les droits d’accès aux données collectées en cause, selon son usage particulier de telle ou telle fonctionnalité proposée par Google.
La CNIL pointe également du doigt l’usage transversal des données collectées à travers tous les services proposés par Google qui serait contraire aux articles 6 et 7 de la Directive.
En effet les nouvelles règles de confidentialité stipulent : « Les informations personnelles que vous fournissez pour l’un de nos services sont susceptibles d’être combinées avec celles issues d’autres services Google (y compris des informations personnelles) ».
Pratiquement, il est très difficile de savoir, y compris pour des professionnels avertis, quelle(s) donnée(s) ou information(s) sont combinées avec quelle(s) fonctionnalité(s) et dans quel(s) but(s).
Enfin, la CNIL formule quelques suggestions d’ordre général pour améliorer la conformité des nouvelles règles avec la Directive. Tout en saluant l’effort de simplification fourni par Google, elle estime que cette simplification ne doit pas s’opérer au détriment de la transparence et de l’exhaustivité et recommande donc que Google adopte une approche « multi-couches » (2) pour chaque service ou fonctionnalité où les règles de bases pourraient être délivrées dans une courte notice (couche n°1) et des informations plus détaillées seraient fournies dans des notices explicatives plus longues (couches 2 et 3).
En tout état de cause, la CNIL sollicitait dans son courrier du 27 février dernier, un report de l’application de ces nouvelles règles de confidentialité. Cela n’a pas été le cas puisqu’elles sont actuellement en vigueur et accessibles (3).
Dans l’intervalle la CNIL a adressé à Google, le 16 mars 2012, une série de 69 questions pour approfondir son analyse et « clarifier les implications de ces nouvelles règles pour les utilisateurs des services Google, qu’ils soient titulaires d’un compte Google, utilisateurs non authentifiés ou utilisateurs passifs des services de Google sur d’autres sites (publicité, mesure d’audience, etc.) (4).
Ces questions (5) abordent le fonctionnement technique du traitement de données mais visent également les problématiques juridiques posées par ces nouvelles règles de confidentialité.
En voici quelques exemples.
La CNIL interroge notamment Google sur sa terminologie. Les différents vocables employés tels que « données », « données personnelles », « informations personnelles », « informations » renvoient-ils tous aux termes « données personnelles » tels que définis dans l’article 2(a) de la Directive ?
Elle demande également à Google de dresser une liste exhaustive de tous les services couverts par les nouvelles règles de confidentialité.
S’agissant des finalités du traitement de données, la CNIL demande à Google des précisions sur la nature des données personnelles collectées lui permettant de « fournir », « entretenir », « protéger » et « améliorer » ses services, « tout en développant de nouveaux services [...] » et également des exemples de données collectées et traitées pour « protéger Google et ses utilisateurs ».
Sur la conservation des données, les nouvelles règles de confidentialité indiquent que, même lorsque l’utilisateur supprime des données, Google « ne supprime pas immédiatement les copies résiduelles se trouvant sur [ses] serveurs actifs ni celles stockées dans [ses] systèmes de sauvegarde ». La CNIL interroge donc légitimement Google sur la question de savoir si les données supprimées le seront effectivement après un certain délai et si oui quel est ce délai.
A propos du consentement de l’utilisateur, la CNIL questionne Google sur la signification de la phrase suivante : « Toute diminution de vos droits dans le cadre des présentes règles de confidentialité ne sauraient être appliquée sans votre consentement exprès. » et demande à Google des exemples de diminution de droits qui pourrait requérir un tel consentement.
Dans ce contexte la CNIL pointe à titre d’exemple l’abandon par Google, dans cette nouvelle version, de la possibilité (existante dans la version antérieure des règles de confidentialité) pour l’utilisateur de refuser que ses données personnelles soient combinées avec d’autres services pour demander à Google si elle considère que le fait de priver l’utilisateur de ce choix constitue, au sens des nouvelles règles de confidentialité en vigueur, « une diminution » des droits de l’utilisateur.
S’agissant de la combinaison des données, la CNIL interroge Google sur la question de savoir si cette combinaison concerne les données d’utilisateurs enregistrés depuis un service authentifié (comme Gmail) et l’utilisation d’un service non authentifié (comme Maps) sur le même navigateur ou ordinateur.
La CNIL aborde également les problématiques liées à la détention d’un « smart phone » utilisant le système d’exploitation open source « Android » (conçu par une start-up rachetée par Google) et notamment la question de l’applicabilité des nouvelles règles de confidentialité aux données personnelles stockées dans ces téléphones mobiles (liste de contacts, numéro de téléphone, SMS, données de localisation, etc.) et accessibles via les applications Google Mobile.
Les réponses de Google sont attendues par la CNIL pour le 5 avril prochain. En tout état de cause, la liste des problématiques dressée par la CNIL de manière extrêmement détaillée constitue une base solide pour le praticien comme pour l’utilisateur, qui souhaite exercer sa vigilance à l’encontre du géant californien.
Index:
(1) http://eur-lex.europa.eu/LexUriServ/LexUriServ.do?uri=CELEX:31995L0046:fr:HTML.
(2) « multi layered approach »
(3) www.google.fr/intl/fr/policies/privacy
(4) http://www.cnil.fr/la-cnil/actualite/article/article/nouvelles-regles-de-confidentialite-de-google-la-cnil-adresse-un-questionnaire-detaille/
(5) http://www.cnil.fr/fileadmin/documents/La_CNIL/actualite/questionnaire_to_Google-2012-03-16.pdf
Cet article n'engage que son auteur.
Crédit photo : © Andrzej Puchta - Fotolia.com
Auteur
BIDAUT Tiphaine
Historique
-
Expropriation: les Art. L. 15-1 et L. 15-2 du code de l'expropriation contraires à la Constitution
Publié le : 12/04/2012 12 avril avr. 04 2012Particuliers / Patrimoine / ExpropriationPar décision du 6 avril 2012, le Conseil Constitutionnel déclare contraires à la constitution les Art. L. 15-1 et L. 15-2 du code de l'expropriation pour cau...
-
Nouvelle réglementation sur le stockage des déchets d'amiante
Publié le : 10/04/2012 10 avril avr. 04 2012Collectivités / Environnement / EnvironnementLa nouvelle réglementation sur le stockage des déchets d'amiante entrera en vigueur le 1er juillet 2012.Stockage des déchets d'amianteEn décembre 2011, la Co...
-
Réforme du calcul des surfaces et réforme de la fiscalité de l'aménagement
Publié le : 06/04/2012 06 avril avr. 04 2012Collectivités / Urbanisme / Permis de construire/ Documents d'urbanismeLe 1er mars 2012 sont entrées en vigueur deux importantes réformes qui modifient de manière sensible les conditions de délivrance des autorisations de constr...
-
Les règles de confidentialité et Google
Publié le : 04/04/2012 04 avril avr. 04 2012Entreprises / Marketing et ventes / E-commerceLa publication par Google le 1er mars 2012 de ses nouvelles règles de confidentialité a marqué un nouveau tournant dans les relations mouvementées entre la C...
-
Les obligations du salarié pendant son arrêt maladie
Publié le : 04/04/2012 04 avril avr. 04 2012Particuliers / Emploi / Contrat de travailSur présentation d'un d'arrêt de travail établi par un médecin, le salarié malade bénéficie d’un arrêt de travail. Durant l'arrêt de travail, le contrat de t...
-
Entreprises: gestion des fichiers informatiques par le CIL
Publié le : 03/04/2012 03 avril avr. 04 2012Entreprises / Gestion de l'entreprise / Informatique et RéseauxDirigeant d'entreprise, vous utilisez, pour les besoins de votre activité, des fichiers informatiques répertoriant vos salariés, fournisseurs, sous traitants...
-
Publication de la loi de programmation relative à l'exécution des peines
Publié le : 03/04/2012 03 avril avr. 04 2012Particuliers / Civil / Pénal / Procédure pénale / Procédure civileLa loi du 27 mars 2012 de programmation relative à l'exécution des peines est promulguée. Elle prévoit notamment plus de 20 000 places de prison supplémentai...