La CNIL a condamné Google à verser 100 000 euros d'amende, pour avoir enregistré des données personnelles sur les réseaux WiFi qu'il croisait avec ses Google Cars, utilisées pour cartographier et illustrer son service Google Street View.

C’est une condamnation financièrement modeste au regard du chiffre d’affaires réalisé par la firme de Mountain View, mais hautement symbolique sur le plan des principes. La CNIL a annoncé lundi la condamnation de Google au paiement d’une amende de 100 000 euros, dans le cadre de l’affaire Google Street View. Alors qu’ils ne devaient prendre que des photographies des lieux parcourus, les véhicules de Google ont capté lors de leur parcours des données des réseaux WiFi ouverts qu’ils rencontraient. Sans la moindre autorisation.

Les contrôles que la CNIL a réalisés fin 2009 et début 2010, notamment après les révélations allemandes, ont « révélé divers manquements comme la collecte de données Wi-Fi à l’insu des personnes concernées et la captation de données dite « de contenu » (identifiants, mots de passe, données de connexion, échanges de courriels)« . Le gendarme français du respect de la vie privée avait d’abord mis en demeure la société américaine le 26 mai 2010 de cesser toute collecte et de lui fournir copie des données captées. La CNIL qui a reçu 16,8 Go de données dont 1400 Mo exploitables le condamne finalement après avoir estimé que Google n’avait pas « répondu à ses demandes dans les délais impartis« .

« L’analyse menée sur ces données par la CNIL a permis de constater que GOOGLE avait enregistré, outre des données techniques (identifiants SSID et adresses MAC des points d’accès Wi-Fi), de nombreuses données concernant des particuliers, identifiés ou identifiables (données de connexion à des sites web, mots de passe de messagerie, adresses de courrier électronique, échanges de courriels révélant notamment des informations sensibles sur l’orientation sexuelle ou la santé des personnes)« , écrit la CNIL dans un communiqué.

La décision (.pdf) montre que la Commission a « pu isoler 656 Mo de données relatives à la navigation sur Internet, révélant la présence de 112 mots de passe d’accès à des sites internet (http) ainsi que de nombreuses données de connexion à des sites de rencontre et à des sites pornographiques« . Elle a également trouvé 72 mots de passe de messagerie, 124 adresses e-mail sur protocole smtp, et 774 adresses sur l’ensemble des protocoles. La CNIL explique qu’elle a facilement pu recouper des informations pour voir l’adresse IP d’internautes qui se connectaient à des sites gay ou à des sites libertains.

Google a plaidé l’erreur, et accepté de supprimer les données personnelles enregistrées. Mais il n’a pas fourni « les éléments du programme informatique ayant conduit à la collecte des données Wi-Fi« , et refuse d’effacer « les données identifiant les points d’accès Wi-Fi de particuliers à leur insu« . La CNIL semble considérer que même s’il s’agit de données visibles de l’extérieur, communiquées publiquement par l’essence-même du protocole WiFi, les SSID et adresses Mac des routeurs sans-fil relèvent de données personnelles qui nécessitent une autorisation de collecte. Un point de vue selon nous discutable, mais la CNIL critique « le défaut d’information » de Google. En effet, « cette collecte n’est aujourd’hui plus réalisée par les « Google cars », mais s’opère directement par le biais des terminaux mobiles des utilisateurs se connectant au service de géolocalisation Latitude (smartphones, etc.), et ce à leur insu« , explique la Commission. Elle critique d’ailleurs le fait que Latitude n’est pas déclaré à la CNIL malgré ses demandes.

Partager sur les réseaux sociaux

Articles liés