Confidentialité: pourquoi Google s’est mis l’Europe à dos

Agissant au nom de l’Union européenne, la CNIL a rendu ce mardi les conclusions de son enquête sur la nouvelle politique de confidentialité de Google. Voici ce qu’il faut en retenir.

Après sept mois d’enquête, la CNIL a publié ce mardi ses conclusions sur la nouvelle politique de confidentialité de Google. Dans un souci de “simplification” et de “lisibilité” des conditions d’utilisation de ses services, le géant de l’internet avait annoncé le 24 janvier dernier la refonte de ses 60 politiques de confidentialité en un seul document, destiné à régir la totalité de ses services. Pour la première fois, une commission nationale a été mandatée au nom et pour le compte du G29, regroupant les autorités compétentes des 27 pays membres de l’Union Européenne. Devant les réponses “vagues et imprécises” apportées par Google au cours de ces sept mois, la CNIL lui demande aujourd’hui d’en modifier les termes, afin de respecter la législation européenne. Explications.

Une mauvaise information sur la collecte et l’utilisation des données

Depuis la mise en place des nouvelles règles de confidentialité de Google, il est devenu très difficile de savoir quelles données sont collectées et dans quel but. Tous les services de Google sont aujourd’hui soumis aux mêmes règles, rédigées de façon “plus elliptique”, explique Isabelle Falque Pierrotin, la présidente de la CNIL. Autrement dit, Google s’est attribué les mêmes droits sur des contenus anodins (tirés de l’utilisation du moteur de recherche par exemple) comme sur des données beaucoup plus sensibles (géolocalisation, données bancaires, etc…). “Les nouvelles règles de confidentialité sont floues et permettent à Google de n’exclure aucune pratique. Prenez les services sur Android, rien n’empêche Google de récolter les numéros de téléphone de ses utilisateurs, sans même qu’ils le sachent”, explique Gwendal le Grand, chef de l’expertise informatique de la CNIL.

Un croisement excessif et “non contrôlé” des données

Pour la commission, la nouvelle politique de confidentialité de Google lui permet aussi de généraliser le croisement des données entre les services. De quoi proposer des publicités toujours plus ciblées. Et quand bien même un utilisateur ne serait inscrit à aucun des services de la galaxie Google, il peut toujours, à son insu, collecter son adresse IP et exploiter la consultation de sites tiers, simplement affiliés à Google via le bouton “+1”. Si la CNIL dit “ne pas s’opposer a priori” à la combinaison, elle relève que le croisement doit être pourvu d’une base légale, à savoir le consentement de l’utilisateur ou l’intérêt légitime de Google à croiser des données par exemple.

Des durées de conservation des données non précisées

C’est le troisième reproche adressé par la commission. A aucun moment Google ne s’est engagé sur une durée précise de collecte des données. Par exemple, les données collectées par le cookie DoubleClick, l’outil publicitaire de Google, seraient actuellement conservées entre 18 et 24 mois. Et il n’est même pas certain que Google les supprime une fois que l’utilisateur ne se soit désinscrit d’un service.

Quelles conséquences ?

La CNIL a informé Google de ses conclusions de façon informelle le 19 septembre dernier et lui a adressé un courrier officiel ce mardi. Souhaitant “privilégier le dialogue”, la commission laisse un délai à Google afin qu’il procède aux ajustements nécessaires. “Trois ou quatre mois pour se mettre en conformité”, prévient la présidente. Reste que dans un communiqué officiel transmis à l’AFP, Google s’est déclaré “confiant” dans le fait que sa politique de confidentialité “respecte la loi européenne”.

Si Google venait à ne pas prendre en compte les recommandations de la CNIL, la commission entrera alors dans la “phase contentieuse”, affirme Isabelle Falque Pierrotin. Mais de quels moyens dispose-t-elle ? Les conclusions de la CNIL ont bien reçu un soutien unanime au niveau européen. Et même au-delà, puisque la commissaire à la protection de la vie privée du Canada ainsi que les autorités membres de l’APPA (zone Asie-Pacifique) les ont également appuyées. Mais paradoxalement, l’action européenne s’arrête là. Dans le cadre d’éventuelles poursuites en justice, il faudra en effet déterminer les autorités ainsi que la loi compétentes, pour envisager des actions Etat par Etat. Dans des affaires de ce genre, les commisions misent davantage sur l’impact médiatique d’une condamnation que sur le montant des amendes. Car elles ne sont généralement pas vraiment dissuasives. En 2010, la CNIL avait condamné Google à une amende de 100 000 euros pour son service Google Street View.

Mais la situation pourrait évoluer. Dans le cadre de la proposition de règlement européen sur la vie privée et la protection des données, les procédures et les sanctions pourraient être entièrement revues. Il est en effet question de généraliser la mise en place d’un “guichet unique”, une commission qui enquêterait pour l’ensemble des pays européens. Avec des possibilités de sanctions beaucoup plus grandes : jusqu’à 2% du chiffre d’affaires total de l’entreprise. Son adoption devrait être effective entre 2013 et 2016.

Trends.be, avec L’Expansion.com