Ce n’est qu’à la fin de l’année que la Commission européenne prévoit dans le cadre du programme de Stockholm de faire ses propositions pour remplacer la vieille Directive 95/46. L’Europe a choisi une démarche incohérente : elle est en train d’achever ses négociations avec les Etats-Unis concernant les données bancaires (« accord Swift-TFTP »), elle va procéder aux négociations d’un accord cadre en matière de protection de données à caractère personnel et ce n’est qu’après cette séquence qu’elle va refondre sa législation de base en remplaçant la Directive 95/46. C’est évidemment l’ordre inverse qui aurait du prévaloir. Sans attendre, la Commission nationale de l’informatique et des libertés vient d’adresser une mise en demeure » à Google pour l’obliger à livrer des données collectées pour son programme Street View.
De quoi s’agit-il ?
Le Global Positioning System (géo-localisation) s’est banalisé : rien de plus facile que de savoir où l’on se trouve, quels sont les magasins les plus proches ou quel itinéraire choisir. En sens inverse, on peut savoir à tout moment où vous êtes.
Google a poussé la logique jusqu’au bout avec son programme « Google Latitude » : il suffit de donner son numéro de téléphone et celui de ses amis pour savoir à tout moment où ils sont et ce qu’ils faisaient avant-hier à une heure précise. Un employeur peut suivre les déplacements de ses salariés, un conjoint savoir où est son ou sa partenaire ou ce que font ses enfants. C’est un bracelet électronique volontaire…
Il a fallu à Google un énorme travail de collecte pour monter le programme. C’est l’objet de « Street View » : des Google cars – voitures de Google équipées de neuf caméras et de scanners – – sillonnent les villes du monde entier, repèrent les bornes et photographient les rues : les Etats-Unis ont été scannés, le Japon, une grande partie de l’Australie et de l’Europe, dont la France. Les visages et les plaques d’immatriculation sont floutées et le résultat est mis gracieusement en ligne sur Google Maps.
Mais les Google cars ont aspiré en passant les données qui transitaient par les bornes Wi-Fi non sécurisées et enregistré des messages, des adresses IP d’ordinateur, des mots de passe… « Nous avons commis une erreur, nous avons collecté des données que nous ne voulions pas collecter », a reconnu l’un des présidents de Google. (cf Nea SAY)
Google a accepté de collaborer avec la CNIL, qui a cependant été obligée de le « mettre en demeure » de lui livrer ces données, première étape d’une procédure de sanction. C’est un succès pour la CNIL, qui va avoir accès aux données personnelles captées à l’insu des personnes concernées. Le problème est plus large. Est-on prêt à vivre dans une société parfaitement transparente, où chacun saura où est l’autre ? « La géo-localisation tend à devenir la norme, dit Gwendal Le Grand, de la CNIL. Bientôt ce sera lorsqu’on débranchera son GSM qu’on sera suspect. » Aucune police n’aurait osé rêver pareille surveillance ! C’est la conception de la vie privée et sa définition juridique qui sont en cause. Un enjeu considérable pour l’Union européenne
Réaction de la CNIL
La formation contentieuse de la CNIL a adopté le 26 mai 2010 une mise en demeure à l’encontre de la société Google Inc. Elle demande de lui communiquer, sous sept jours, l’ensemble des données recueillies en France par les véhicules « Street View », à partir des bornes Wi-Fi. En effet, l’enregistrement de ces données, effectué à l’insu des personnes concernées, présente un caractère déloyal au sens de la loi « informatique et libertés » et une intrusion dans la vie privée.
Le service « Google Street View » permet aux internautes d’accéder aux photographies collectées dans le monde entier par des véhicules de la société Google Inc. Il est accessible en ligne à partir de l’application « Google Maps ».
Le 14 mai 2010, la société Google Inc. a révélé que ses véhicules avaient non seulement enregistré des photographies, mais aussi des communications issues des réseaux Wi-Fi non sécurisés. L’enregistrement de telles données est susceptible de mettre la société Google Inc. en possession d’informations telles que les pages internet consultées, le contenu des messages échangés ou encore les identifiants et mots de passe saisis. C’est pourquoi la Commission a effectué un contrôle sur place le 19 mai, portant sur la nature des données collectées ainsi que sur les mesures prises pour remédier à l’enregistrement de ces données. Lors de ce contrôle, la CNIL a demandé à Google de lui communiquer des informations techniques concernant la collecte de données Wi-Fi, ainsi que des copies sur support informatique, en particulier une copie intégrale des données Wi-Fi enregistrées en France.
Elle constate :
– . la collecte déloyale et illicite de données, à l ‘insu des personnes concernées ;
-. l’atteinte à la vie privée et aux libertés individuelles ;
-. l’absence de formalités préalables auprès de la CNIL, s ‘agissant en particulier du service Google Latitude qui utilise les localisations des points d ‘accès Wi-Fi pour détecter automatiquement la localisation des utilisateurs ;
-.l’insuffisance des réponses apportées par la société Google Inc. aux demandes de la CNIL, dont certaines datent de fin 2009 et visaient justement à obtenir des précisions sur la nature des données collectées.
C’est pourquoi, la CNIL a demandé à Google, sous 7 jours, de :
-. lui communiquer les informations et copies demandées lors du contrôle sur place ;
-. cesser toute collecte de données à l ‘insu des personnes, s ‘agissant en particulier des identifiants de réseaux Wi-Fi (SSID), des adresses MAC de points d ‘accès Wi-Fi et des données de connexion issues de bornes Wi-Fi ;
-.veiller à ne plus collecter de données à caractère personnel de manière déloyale ou illicite dans le cadre du traitement Google Street View ;
-. procéder aux formalités préalables complémentaires nécessaires.
Ces demandes ont été satisfaites par Google puisque le 4 juin 2010, la délégation de contrôle de la CNIL a pu accéder aux données souhaitées à partir d ‘une liaison dédiée sécurisée. En outre, deux disques durs comportant un volume très important de données (données de connexion, codes sources des logiciels, rapports d ‘audit) lui ont été remis. Enfin, une réponse portant sur des questions juridiques a été adressée à la CNIL le même jour. Ces éléments essentiellement techniques sont actuellement analysés par les informaticiens de la CNIL. Il est donc encore trop tôt pour se prononcer sur les suites que connaîtra ce contrôle.
Pour autant, quelques constats peuvent d’ores et déjà être faits :
La CNIL est la première autorité de protection des données dans le monde à obtenir les données collectées par Google dans le cadre du dispositif Street View. Il semble que les autorités espagnoles et allemandes aient fait la même demande ;
Google a bien enregistré des mots de passe d’accès à des boites mail, à l’insu des personnes.
Google a enregistré des extraits de contenus de messages électroniques.
Lors des contrôles, la CNIL a eu la confirmation, que le service Street View fournissait des informations utiles à d’autres services de Google Maps et notamment à Google Latitude.
En effet, pour assurer ce service de géo-localisation, Google peut s ‘appuyer sur les fonctions GPS des terminaux mobiles, mais aussi sur des données issues du réseau GSM ou la localisation des points d ‘accès Wi-Fi à proximité de l ‘utilisateur. Une partie des informations contenues dans la base de Google a ainsi été recueillie par les véhicules de Google France, qui ont été utilisés pour prendre les photos de Street View. Cette information conforte l ‘analyse de la Commission sur le fait que Google a bien utilisé un moyen de traitement sur le territoire national dans le cadre de Latitude. Dès lors, la CNIL a rappelé à Google qu’il devait également se mettre en conformité avec la loi Informatique et Libertés en déclarant le service Latitude.