Entrées en vigueur le 1er mars 2012, les nouvelles règles de confidentialité de Google ont évolué. Au lieu d’avoir un contrat par service (type Youtube, Gmail, etc…), le géant américain, sous prétexte d’une modernisation et d’une simplification, a choisi d’unifier l’ensemble de ses règles de confidentialité dans un unique document ; à ce titre ce ne sont pas moins de 60 de ces services qui ont vu leurs « CGU » fusionnées en un seul document. Mais pour la Commission nationale de l’informatique et des libertés (CNIL) et ses équivalents européens (le G29), ce changement est problématique.
La CNIL mandatée par les autorités de protection des données personnelles européennes
Suite à ce changement opéré par Google dans sa nouvelle charte de confidentialité, les autorités de protection des données personnelles européennes se sont montrées inquiètes et ont déclaré fin février 2012 que, « cette évolution ne doit pas se faire au prix d’une information moins transparente et moins complète. (…) La fusion des règles de confidentialité des services de Google rend impossible la compréhension des données personnelles collectées, des finalités, des destinataires et des droits d’accès pertinents pour chaque service. » Pour le G29, les nouvelles règles de confidentialité unifiées de Google ne respectaient donc pas les exigences de la Directive européenne sur la protection des données (95/46/CE) en matière d’information des personnes concernées.
Dans cette optique, les autorités de protection des données personnelles européennes ont chargé la CNIL de mener une enquête afin de vérifier la conformité des nouvelles règles de confidentialité de Google à la législation européenne.
Une unification des données permettant le croisement des données
Google, pour justifier l’unification des règles de confidentialité de ses différents services, avance que celle-ci permet de clarifier les implications de ces nouvelles règles pour les utilisateurs des services Google, qu’ils soient titulaires d’un compte Google, utilisateurs non authentifiés ou utilisateurs passifs des services de Google sur d’autres sites.
En d’autres termes, cette unification permet de décloisonner les données, Google peut ainsi croiser les données obtenues sur l’ensemble des services proposés. Par exemple, les nouvelles règles autorisent Google à afficher sur YouTube des publicités liées à l’activité de l’utilisateur sur son téléphone Android (numéro de téléphone, numéros appelants) et à sa localisation.
En combinant toutes ces informations, Google pourra donc suivre et associer une grande partie des activités des internautes, grâce à des produits comme Android, Analytics ou ses services de publicité.
Vers une action répressive et coordonnée des autorités européennes
Après plusieurs mois d’enquête menée par la CNIL, les autorités de protection des données européennes ont publié, le 16 octobre 2012, leurs conclusions communes sur les nouvelles règles de confidentialité de Google. Pointant un manque flagrant de transparence et estimant que cette nouvelle politique est peu compréhensible, les autorités européennes ont ainsi demandé à Google « d‘offrir aux utilisateurs un meilleur contrôle de la combinaison de données entre les nombreux services qu’elle propose. Enfin, elles souhaitent que Google modifie les outils utilisés afin d’éviter une collecte excessive de données. » Enfin, elles souhaitaient que Google précise les durées de conservation des données.
Pour la commission, « les nouvelles règles de Google ne respectent donc pas les exigences de la Directive européenne sur la protection des données (95/46/CE) en matière d’information des personnes concernées. » Le CNIL met donc en demeure Google de se mettre en conformité et de s’engager sur la mise en œuvre de ces recommandations dans un délai de quatre mois.
A la date du 18 février, alors que Google dit avoir répondu en temps et en heure, les autorités européennes affirment au contraire que Google n’a pas apporté de réponse précise et opérationnelle à leurs recommandations. Elles proposent ainsi la mise en place d’un groupe de travail, piloté par la CNIL, pour coordonner leur action répressive. Ce dispositif sera soumis au vote du G29, le groupe des CNIL européennes, le 26 février prochain.
Face à la mise en place de ce volet répressif, le géant Google a réitéré le 18 février que ses règles de confidentialité respectaient la loi européenne : « notre politique de confidentialité respecte la loi européenne et nous permet d’offrir des services plus simples et plus efficaces. Nous nous sommes pleinement impliqués tout au long des échanges avec la CNIL, et nous continuerons à le faire », a indiqué le groupe. Affaire à suivre.
Sources :
ANONYME., « Données personnelles : Google pourrait être sanctionné par les CNIL européennes», jurist4medias.fr, mis en ligne le 19 février 2013, consulté le 19 février 2013, disponible sur http://www.jurist4medias.fr/2013/02/19/donnees-personnelles-google-pourrait-etre-sanctionne-par-les-cnil-europeennes/
ANONYME., « La CNIL lancera une “action répressive” contre les règles de Google», Numerama.fr, mis en ligne le 19 février 2013, consulté le 19 février 2013, disponible sur http://www.numerama.com/magazine/25132-la-cnil-lancera-une-action-repressive-contre-les-regles-de-google.html
COEFFE T., «Les CNILS européennes s’unissent contre Google», blogduooderateur.com, mis en ligne le 19 février 2013, consulté le 19 février 2013, disponible sur http://www.blogdumoderateur.com/les-cnil-europeennes-s-unissent-contre-google/
GEVAUDAN C., «La Cnil en mode répressif face à ce flou furieux de Google», écrans.fr, mis en ligne le 18 février 2013, consulté le 19 février 2013, disponible sur http://www.ecrans.fr/La-Cnil-en-mode-repressif-face-a,15978.html
SANYAS N., « Règles de confidentialité unifiées de Google : la CNIL pourrait sanctionner», PCimpact.fr, mis en ligne le 18 février 2013, consulté le 19 février 2013, disponible sur http://www.pcinpact.com/news/77614-regles-confidentialite-unifiees-google-cnil-pourrait-sanctionner.htm