Une information citoyenne au service d'une identité européenne
Réactions, commentaires et débats avec des invités

Glossaire interactif des termes de l'Espace de liberté, de sécurité et de justice
Observatoire législatif de l’Espace européen de liberté, de sécurité et de justice
Veille juridique et documentaire axée sur la Charte des droits fondamentaux de l’Union européenne
Actualités des grands projets de l'Union européenne
Dossiers documentaires thématiques
Actualités sur le rôle de l'Union européenne dans le monde
Une information citoyenne au service d'une identité européenne

Nouvel épisode de la bataille entre Google et l'Union européenne : la CNIL vient de rendre (mardi 16 octobre) des conclusions accablantes de son enquête sur la « nouvelle politique » de confidentialité  de Google. La bataille sera féroce

pdf mise en ligne :16 10 2012 ( NEA say… n° 126 )

DROITS FONDAMENTAUX > Protection des données personnelles

Devant les réponses vagues et imprécises la CNIL demande à Google de modifier radicalement son dispositif : plus de simplicité et de lisibilité. On ne sait pas quelles données sont collectées et dans quel but. Des règles floues « rédigées de façon elliptique » permettent de n'exclure aucune pratique. Un croisement excessif et non contrôlé des données sans s'opposer a priori à des croisements la CNIL demande une base légale le consentement de l'utilisateur ou l'intérêt légitime de Google. IL ne s'est pas engagé sur une durée précise de collecte et de conservation. Souhaitant maintenir comme par le passé un bon niveau de dialogue, la CNIL laisse trois ou quatre mois à Google pour se mettre en conformité avant d'entrer dans la phase contentieuse. Google s'est déclaré confiant comme d'habitude : sa politique de confidentialité respecte la loi européenne.

Devant les réponses vagues et imprécises la CNIL demande à Google de modifier radicalement son dispositif : plus de simplicité et de lisibilité. On ne sait pas quelles données sont collectées et dans quel but. Des règles floues « rédigées de façon elliptique » permettent de n'exclure aucune pratique. Un croisement excessif et non contrôlé des données sans s'opposer a priori à des croisements la CNIL demande une base légale le consentement de l'utilisateur ou l'intérêt légitime de Google. IL ne s'est pas engagé sur une durée précise de collecte et de conservation. Souhaitant maintenir comme par le passé un bon niveau de dialogue, la CNIL laisse trois ou quatre mois à Google pour se mettre en conformité avant d'entrer dans la phase contentieuse. Google s'est déclaré confiant comme d'habitude : sa politique de confidentialité respecte la loi européenne.

Après plusieurs mois d'enquête menée par la CNIL sur les nouvelles règles de confidentialité de Google entrées en vigueur le 1er mars dernier, les autorités de protection des données européennes publient leurs conclusions communes. Elles recommandent une information plus claire des personnes et demandent à Google d'offrir aux utilisateurs un meilleur contrôle de la combinaison de données entre les nombreux services qu'elle propose. Enfin, elles souhaitent que Google modifie les outils utilisés afin d'éviter une collecte excessive de données.

Le 24 janvier 2012, Google annonçait l'entrée en vigueur de nouvelles règles de confidentialité et de nouvelles conditions d'utilisation applicables à la quasi-totalité de ses services à partir du 1er mars 2012. (cf.Nea say) http://www.eu-logos.org/eu-logos_nea-say.php?idnl=2500

 

Face aux nombreuses questions soulevées par ces changements, la CNIL a été mandatée par le groupe des CNIL européennes (G29) pour conduire l'enquête sur les nouvelles règles. Deux questionnaires successifs ont été envoyés et Google a fourni ses réponses les 20 avril et 21 juin, plusieurs d'entre elles s'étant avérées incomplètes ou approximatives. En particulier, Google n'a pas fourni de réponses satisfaisantes sur des points essentiels comme la description de tous les traitements de données personnelles qu'il opère ou la liste précise des plus de 60 politiques de confidentialité qui ont été fusionnées dans les nouvelles règles.

L'analyse des réponses de Google ainsi que l'examen de nombreux documents et mécanismes techniques par les experts de la CNIL ont toutefois permis aux autorités européennes de tirer leurs conclusions et de formuler des recommandations à Google.

Tout d'abord, l'analyse menée ne permet pas de s'assurer que Google respecte les principes essentiels de la Directive sur la protection des données personnelles que sont la limitation de finalité, la qualité et la minimisation des données, la proportionnalité et le droit d'opposition. En effet, les nouvelles règles de confidentialité suggèrent l'absence de toute limite concernant le périmètre de la collecte et les usages potentiels des données personnelles. Les autorités européennes demandent à Google de s'engager publiquement sur le respect de ces principes.

Google ne fournit pas suffisamment d'informations aux utilisateurs sur ses traitements de données personnelles 

Avec les règles actuelles, l'utilisateur d'un service Google est incapable de déterminer quelles sont les données personnelles utilisées pour ce service et les finalités exactes pour lesquelles ces données sont traitées. Exemple : les règles de confidentialité ne font pas de différence de traitement entre le contenu anodin d'une recherche et le numéro de carte de crédit ou les communications téléphoniques de l'utilisateur ; toutes ces données peuvent être utilisées indifféremment pour toutes les finalités mentionnées dans les règles.

De plus, certains utilisateurs comme les utilisateurs passifs (c'est-à-dire ceux qui interagissent avec des services de Google comme la publicité ou les boutons '+1' à partir de sites tiers), ne disposent d'aucune information.

Les CNIL européennes rappellent à Google et aux acteurs de l'internet en général, que des politiques de confidentialité plus courtes ne justifient pas de réduire l'information fournie aux personnes.Les autorités européennes demandent à Google de fournir une information plus claire et plus complète sur les données collectées et les finalités de chacun de ses traitements de données personnelles.

Par exemple, les autorités européennes recommandent la mise en place d'une présentation avec trois niveaux de détails qui assurera une information conforme aux exigences de la Directive sans dégrader l'expérience des utilisateurs. L'ergonomie de la lecture des règles pourrait également être améliorée grâce à des présentations interactives.

Google ne permet pas le contrôle par les utilisateurs de la combinaison de données entre ses nombreux services

La combinaison de données entre services a été généralisée avec ces nouvelles règles de confidentialité : concrètement toute activité en ligne liée à Google (l'utilisation de ses services, de son système Android ou la consultation de sites tiers utilisant des services Google) peut être rassemblée et combinée.

Les CNIL européennes relèvent que cette combinaison poursuit des finalités différentes comme la fourniture du service demandé par la personne, le développement de nouveaux produits, la sécurité, la publicité, la création du compte Google ou encore la recherche académique. L'enquête a également montré que cette combinaison de données est extrêmement étendue en termes de périmètre et d'historique des données.

Exemple : la simple consultation d'un site tiers comprenant un bouton '+1' est enregistrée et conservée pendant 18 mois au moins et peut être associée aux utilisations des services de Google ; les données collectées par DoubleClick sont associées à un numéro identifiant d'une validité de 2 ans renouvelable.

La législation européenne de protection des données prévoit un cadre précis pour les traitements de données personnelles. Google doit disposer d'une base légale pour réaliser la combinaison de données pour chacune de ces finalités. La collecte doit également demeurer proportionnée aux finalités poursuivies. Or, pour certaines de ces finalités, notamment la publicité, Google ne peut pas s'appuyer sur le consentement de la personne, l'intérêt légitime de Google ou l'exécution d'un contrat.

Google doit donc modifier ses pratiques quand les données sont combinées pour ces finalités. Il s'agit notamment de :

-. renforcer le consentement des personnes pour la combinaison des données pour les finalités d'amélioration de service, de devéloppement de nouveaux services, de publicité et d'analyse de fréquentation. Cela pourrait être fait en donnant la possibilité aux utilisateurs de choisir quand leurs données sont combinées, par exemple avec des boutons dédiés sur les pages des services (cf. bouton "Search Plus Your World")  ;

- . offrir un meilleur contrôle des utilisateurs sur la combinaison de données en centralisant et simplifiant le droit d'opposition (opt-out) et en leur permettant de choisir pour quels services leurs données sont combinées ;

-. adapter les outils utilisés par Google pour la combinaison de données afin de limiter cette combinaison aux finalités autorisées, par exemple en distinguant les outils utilisés pour la sécurité et ceux utilisés pour la publicité.

Google ne précise pas les durées de conservation

Google a refusé de s'engager sur des durées de conservation pour les données personnelles qu'il traite.

L'ensemble des recommandations des CNIL européennes a été remis à Google afin de lui permettre de mettre à niveau ses pratiques en matière de politique de confidentialité. Ce courrier est signé individuellement par 27 Autorités de protection des données européennes, ce qui constitue une première et une avancée considérable dans la mobilisation des autorités européennes.

Plusieurs de ces recommandations sont également soutenues par des autorités membres de l'APPA (Asia Pacific Privacy Authorities) et la Commissaire à la protection de la vie privée du Canada a fait part des préoccupations similaires au sujet de diverses activités de Google.

La CNIL, l'ensemble des autorités de protection des données européennes et les autorités d'autres régions du monde attendent de Google qu'il prenne des mesures effectives et publiques pour se mettre en conformité rapidement et s'engage sur la mise en œuvre de ces recommandations.

Jusqu'à aujourd'hui le duel se livrait à fleuret moucheté, désormais la bataille sera féroce. Les autorités de protection des données n'abandonneront la partie comme on vient de le constater lors de la conférence interparlementaire des 9 et 10 octobre qui a rassemblé outre les députés européens et nationaux prés de 200 représentants de la société civile. Quant aux institutions européennes, engagées dans la phase finale de la refonte de la Directive de 1995 sur la protection des données, elles ne voudront pas se risquer dans une nouvelle aventure de type ACTA.

      -. Règles de confidentialité et principales conclusions et recommandations  des Cnil européennes http://www.cnil.fr/la-cnil/actualite/article/article/regles-de-confidentialite-de-google-une-information-incomplete-et-une-combinaison-de-donnees/?tx_ttnews%5BbackPid%5D=2&cHash=0f081a5b92490eb4ce22e52c986f90e4

      -. Courrier signé individuellement par l'ensemble des CNIL européenne  http://www.cnil.fr/fileadmin/documents/en/20121016-letter_google-article_29-FINAL.pdf

      -. Soutien apporté par les autorités membres de l'APPA (Asian Pacific Privacy Authorities) http://www.cnil.fr/fileadmin/documents/en/APPA_SUPPORT_LETTER-Article_29_Letter.pdf

      -. Dossier GOOGLE de Nea Say http://www.eu-logos.org/eu-logos-nea-recherche.php?q=google&Submit=%3E