LES SERVICES DE GEOLOCALISATION DE GOOGLE : LES MANQUEMENTS DU GEANT

Publié par le dans , | Consulté 47 Fois | Leave a response

A partir des années 2000, la société Google a développé des outils de recherche géographique reposant sur des photographies satellites ou aériennes. C’est dans cet optique qu’a été crée le service « Google Map » permettant, en quelque sorte, aux utilisateurs de troquer la carte routière contre une carte en ligne.

En 2007, Google édite un nouveau service « Street View », qui complète le service « Google Map ». « Street View » permet aux utilisateurs de naviguer virtuellement à 360 degrés horizontalement et 290 degrés verticalement dans les principales villes des Etats-Unis. Des véhicules équipés de caméras, les « Google Cars », prennent des photographies numériques qu’ils transmettent au service « Street View ».

En 2008, Google a décidé d’étendre son service à l’Europe, notamment au Tour de France. Pour se faire, Google a du se conformer à la directive européenne 95/46/CE du 24 octobre 1995 relative à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données. Cette directive établit un cadre règlementaire visant à concilier la protection de la vie privée des personnes avec la libre circulation des données à caractère personnel au sein de l’Union Européenne. A donc été mis au point un logiciel de « floutage » des visages des personnes et plaques d’immatriculations des véhicules.

En 2009, Google a amélioré son service. A l’origine le dispositif permettait de se déplacer seulement dans les parcs et les zones piétonnes. Depuis août 2009, grâce à des tricycles équipés de caméras, il est possible d’accéder à des zones non accessibles aux voitures. D’autre part, Google a édité un nouveau service de géolocalisation : « Google Maps Mobile ». Sous conditions d’être titulaire d’un compte Google et de télécharger l’application « Google Latitude », l’utilisateur peut, de manière instantanée, notifier sa position à son entourage, dès lors que ceux-ci ont installé la même application.

Tous ces services disposent d’une base de données communes « Base GLS ». Pour assurer le fonctionnement de ceux-ci, de multiples données sont collectées auprès des utilisateurs de terminaux mobiles connectés. Dans cette espèce il s’agit d’identifiants « Service Set Identifier » (SSI) et d’adresses « Media Acces Control » (MAC) des routeurs « Wireless Fidelity » (Wi-Fi), soit respectivement, le nom identifiant un réseau sans fil et le numéro unique identifiant une carte réseau.

En mai 2010, Google est venu contredire l’annonce qu’il avait fait en avril 2010. La société a reconnu que ses « Google Cars » collectaient, non-intentionnellement, en même temps que des données techniques, « des fragments de contenus de communications » issues des réseaux Wi-Fi non sécurisés, à l’insu des utilisateurs concernés.

Face la gravité de ces révélations, en juin 2010, la CNIL a souhaité opérer un contrôle, demandant à Google de transmettre des informations relatives à la nature et aux modalités d’enregistrement des données collectées. En effet, ces traitements sont susceptibles de porter atteinte au respect de la vie privée et à la protection des données personnelles, sur le fondement de la Loi n°78-17 du 6 janvier 1978 relative à l’informatique, aux fichiers et aux libertés, transposant la directive du 24 octobre 1995.

En août 2010, la CNIL a mis en demeure Google de « cesser toute collecte de données à l’insu des personnes concernées, de veiller à ne plus collecter de telles données de façon illicite ou déloyale et de lui fournir un certain nombre d’informations sur les modalités de recueil de ces données dans le cadre de Street View » et de se mettre en conformité avec les dispositions de la loi du 6 janvier 1978.

Le 17 mars 2011, la formation contentieuse de la Commission Nationale de l’Informatique et des Libertés a prononcé une sanction pécuniaire de 100 000 euros à l’encontre de la société Google . Dans sa délibération n°2011-035 la CNIL fait état des nombreux manquements qu’elle a constatée.

D’une part, Google n’a pas accompli les formalités de déclaration préalable à la mise en oeuvre des services « Street View » et « Google Latitude », et ce malgré les demandes réitérées de la CNIL. Une déclaration auprès de la CNIL étant nécessaire en cas de « traitements automatisés de données à caractère personnel » selon la loi du 6 janvier 1978. La société a estimé que la loi du 6 janvier 1978 ne lui était pas applicable puisqu’elle est établie aux Etats-Unis et qu’elle n’a pas « recourt à des moyens de traitement situés sur le territoire français ». Toutefois, « Google France », est une entité juridique de la société Google installée en France, c’est pourquoi la CNIL a estimé ces justifications insatisfaisantes. D’autant plus que les données sont collectées sur le territoire français.

D’autre part, les investigations de la CNIL ont permis de constater que Google collectait et enregistrait des données techniques mais aussi des données à caractère personnel permettant l’identification de particuliers, ainsi que des données sensibles, à l’insu des utilisateurs connectés à l’application « Google Latitude », via les terminaux mobiles. Il s’agit de
« données de connexion à des sites web, la localisation géographique, des identifiants et mots de passe de comptes personnels, le contenu de courriers électroniques ». Or Google avait été averti du caractère déloyale de ces pratiques lorsque celles-ci avaient été mises en oeuvre pour enrichir la base de données du service « Google Street View ». Ces faits constituent donc des manquements à la loi du 6 janvier 1978 selon laquelle « Un traitement ne peut porter que sur des données à caractère personnel […] collectées et traitées de manière loyale et licite. »

Enfin, une divergence de point de vue existe entre la société Google et la CNIL quant à la notion de données à caractère personnel. Google considère que ces éléments ne sont pas des données à caractère personnel. Pour la CNIL, ces services ont pour but de déterminer la position géographique des utilisateurs. Ainsi, l’association des identifiants « SSI » et des adresses « MAC » des routeurs « Wi-Fi », constituerait des données à caractère personnel. A travers la combinaison de noms, adresses, comportements, il serait possible d’établir un profil assez précis des utilisateurs, ce dernier devenant ainsi identifiable, et entrant dans le champ d’application assez large de la directive du 24 octobre 1995.

Sur de nombreux sujets Google et la CNIL sont donc en total désaccord. A présent, la société Google dispose d’un délai de deux mois pour exercer un recours devant le Conseil D’Etat.
C’est donc une affaire à suivre.

Sources :

http://www.cnil.fr/la-cnil/actu-cnil/article/article/google-street-view-la-cnil-prononce-une-amende-de-100-000-euros/?tx_ttnews%5BbackPid%5D=2&cHash=cc38682f49

http://www.zdnet.fr/actualites/google-et-la-cnil-en-desaccord-sur-la-nature-personnelle-des-donnees-wi-fi-39759254.htm