La CNIL a rendues publiques sur son site web les conclusions et recommandations adressées par l’ensemble les autorités de protection des données européennes (G29) à Google, suite à l’enquête menée par la CNIL sur les nouvelles règles de confidentialité entrées en vigueur le 1er mars 2012.

RAPPEL du CONTEXTE

Les changements résultent de l’intention de Google de combiner les données de ses différents services à savoir :

• les servies pour utilisateurs authentifiées (Gmail , Google Play , Google + etc)

• les services pour utilisateurs non authentifiés (Search , Goole map, youtube etc)

• Les services sur sites web de tiers avec des utilisateurs passifs (Doubleclick, analytics , boutons +1)

Outre la fourniture du service demandé par l’utilisateur, la combinaison est effectuée pour des finalités diverses et notamment : le développement de nouveaux produits, l’amélioration des services, la sécurité, la publicité, la création du compte Google ou encore la recherche académique.

L’enquête a montré que cette combinaison de données est « extrêmement étendue en termes de périmètre et d’historique des données ». « Concrètement toute activité en ligne liée à Google peut être rassemblée et combinée ». Par ailleurs, « plus de 60 règles de confidentialité » ont été remplacées par une seule globale.

CONSTATS et RECOMMANDATIONS des AUTORITES EUROPEENES

Respect des grands principes

En réponse à l’apparente absence de limites dans la collecte et l’utilisation des données, « les autorités européennes demandent à Google de s’engager publiquement sur le respect de ces principes […] essentiels de la Directive sur la protection des données personnelles que sont la limitation de finalité, la qualité et la minimisation des données, la proportionnalité et le droit d’opposition ».

Absence de base légale dans certains cas

Google doit disposer d’une base légale pour réaliser la combinaison de données pour chacune de ces finalités : l’exécution d’un contrat, le consentement ou un intérêt légitime étant précisé que ce dernier ne s’applique que pour autant qu’il n’aille pas à l’encontre de la protection des intérêts légitimes des personnes concernées. « Or, pour certaines de ces finalités, notamment la publicité », compte tenu notamment de l’ampleur des données collectées, Google n’a pas de base légale, ne pouvant s’appuyer sur l’intérêt légitime.

« Google doit renforcer le consentement des personnes pour la combinaison des données pour les finalités d’amélioration de service, de développement de nouveaux services, de publicité et d’analyse de fréquentation. Cela pourrait être fait en donnant la possibilité aux utilisateurs de choisir quand leurs données sont combinées, par exemple avec des boutons dédiés sur les pages des services (cf. bouton "Search Plus Your World") »

Information claire et complète

Il est reproché à Google son absence de transparence sur la combinaison des données. De plus, « certains utilisateurs comme les utilisateurs passifs […] ne disposent d’aucune information » ce qui n’est pas acceptable.

Google doit fournir « une information plus claire et plus complète aux utilisateurs sur les données collectées et les finalités de chacun de ses traitements de données personnelles » en différenciant par service et catégorie de données. Les autorités européennes recommandent par exemple :

• « La mise en place d’une présentation avec trois niveaux de détails qui assurera une information conforme aux exigences de la Directive sans dégrader l’expérience des utilisateurs.

• La mise en place de présentations interactives qui amélioreraient l’ergonomie de la lecture des règles. »

• D’avantage d’information pour l’utilisation de certaines données qui ont un impact significatif (données biométriques, cartes de crédit…)

• Un traitement adapté pour les téléphones portables et Smartphones.

• Faire en sorte que les utilisateurs passifs soient correctement informés.

Contrôle par la personne concernée de la combinaison des données

La personne concernée n’a aucune possibilité de contrôle de la combinaison des données

Google doit par exemple :

• « centraliser et simplifier le droit d’opposition (opt-out) et permettre aux utilisateurs de choisir pour quels services leurs données sont combinées ; »

• « adapter les outils utilisés pour la combinaison de données afin de limiter cette combinaison aux finalités autorisées, par exemple en distinguant les outils utilisés pour la sécurité et ceux utilisés pour la publicité. »

• Étendre à tous les pays les processus prévus pour Google Analytics en Allemagne.

• Offrir la possibilité aux utilisateurs authentifiés de contrôler dans quel service ils sont authentifiés

Durée de conservation des données

« Google ne précise pas les durées de conservation » et a refusé de s’engager sur ce point. Or il faut que les durées de conservation soient définies plus clairement et adaptées aux finalités.

STATUT de GOOGLE

Google en tant que leader parmi les prestataires de services en ligne se doit d’agir de façon proactive pour la protection des données personnelles et entretenir des relations étroites avec les autorités des pays dans lesquelles il offre ses services. Cette remarque fait suite notamment au fait que Google n’ait pas répondu à toutes les questions posées par la CNIL.

Il est à noter que ces recommandations sont soutenues par les membres de l’APPA (Asia Pacific Privacy Authorities) ainsi que sur le principe, par l’autorité canadienne [1].

Il sera intéressant de voir la réaction de Google.

_____________________________________________________________________

[1] www.priv.gc.ca/media/nr-c/2012/an_121016_e.asp

Stéphanie Faber est membre de voxFemina – Paroles d’Experts au Féminin