Confidentialité des données : L’Europe s’en prend aux nouvelles pratiques de Google

Les autorités européennes chargées de la protection des données personnelles ne lâchent plus Google d’une semelle. Elles estiment que la nouvelle politique en matière de vie privée poursuivie depuis quelques mois par le moteur de recherche soulève pas mal d'interrogations. Une prise de position qui fait suite à une enquête menée par la CNIL - la Commission nationale de l'informatique et des libertés française, en pointe sur le dossier – pour le compte de ses homologues européennes dans le cadre du « G29 ». Depuis avril dernier l’autorité travaille sur le dossier suite à la simplification, en mars, de la politique de confidentialité et de protection de la vie privée, appliquée par Google à l’ensemble de ses sites (Google donc mais également Gmail ou YouTube). Selon le G29, cité par Reuters suite à l'envoi à Google d’une lettre signée par une majorité de ses membres, « combiner des données avec une telle ampleur pose des risques élevés pour la vie privée des utilisateurs. » l’organisme enjoint Google de modifier ses pratiques en matière de collecte de données à travers ses différents services. Sinon il pourrait sévir. Déjà, en France, s’appuyant sur le rapport qu’elle a produit, la Cnil estime que Google doit rapidement prendre des mesures rassurantes et fournir plus d’informations à ses utilisateurs sous peine de voir nombre de régulateurs européens entrer dans une phase contentieuse. Les CNIL d’Europe recommandent ainsi « une information plus claire des personnes et demandent à Google d'offrir aux utilisateurs un meilleur contrôle de la combinaison de données entre les nombreux services qu'elle propose. Enfin, elles souhaitent que Google modifie les outils utilisés afin d'éviter une collecte excessive de données ». Au-delà de la remise du rapport, le haussement de ton de la Cnil peut s’expliquer par la mauvaise volonté mise par le moteur californien, numéro un mondial de la recherche en ligne, à répondre aux questions posées durant la procédure d’enquête. La Cnil note ainsi que « Google n'a pas fourni de réponses satisfaisantes sur des points essentiels comme la description de tous les traitements de données personnelles qu'il opère ou la liste précise des plus de 60 politiques de confidentialité qui ont été fusionnées dans les nouvelles règles ».

Peu de maitrise par les utilisateurs, problème de durée de vie de la donnée Selon le rapport, « avec les règles actuelles, l'utilisateur d'un service Google est incapable de déterminer quelles sont les données personnelles utilisées pour ce service et les finalités exactes pour lesquelles ces données sont traitées ». Les autorités européennes demandent donc à Google de fournir une information plus claire et plus complète sur les données collectées et les finalités de chacun de ses traitements de données personnelles. Et recommandent la mise en place d'une présentation avec trois niveaux de détails qui assurera une information conforme aux exigences de la Directive, sans dégrader l'expérience des utilisateurs. De plus, la Cnil remarque que, sous couvert de simplification, la combinaison de données entre services a été généralisée avec ces nouvelles règles de confidentialité : concrètement toute collecte d'information sur une activité en ligne liée à Google (l'utilisation de ses services, de son système Android ou la consultation de sites tiers utilisant des services Google) peut être assemblée et combinée avec d'autres. Problème : la législation européenne de protection des données prévoit un cadre précis pour les traitements de données personnelles. Dans ce cadre, les autorités européennes estiment que Google doit renforcer le consentement des personnes pour la combinaison des données pour les finalités d'amélioration de service, de développement, de publicité ou d'analyse de fréquentation. Le moteur devrait également « offrir un meilleur contrôle aux utilisateurs sur la combinaison de données en centralisant et simplifiant le droit d'opposition (opt-out) ». Enfin la Cnil note que Google a refusé de s'engager sur des durées de conservation pour les données personnelles qu'il traite. Malgré ce coup de semonce européen et des doutes sérieux émis par d’autres pays – en Asie et au Canada notamment – Google n’a pas réagi et n’a envoyé aucun signe positif quant à une éventuelle adaptation de son dispositif, prenant en compte les recommandations des organismes chargés de la protection des données personnelles. Le bras de fer ne fait donc que commencer.