La CNIL tance la nouvelle politique vie privée de Google

Les conclusions de la vaste enquête sur les nouvelles règles de confidentialité de Google, entrées en vigueur le 1er mars dernier, étaient attendues. Elles ont été communiquées ce mardi lors d'une conférence de presse organisée par la Commission nationale de l'informatique et des libertés (CNIL), qui a mené l'enquête au nom des autorités de protection des données européennes.

L'information aux utilisateurs

Trois grands griefs ont été retenus par la CNIL En premier lieu, Google n'informe pas suffisamment les utilisateurs des traitements réalisés sur leurs données personnelles. L'entreprise doit préciser quelles sont les informations personnelles manipulées par l'entreprise américaine et quelles sont les finalités exactes pour lesquelles ces données sont exploitées.

Si la CNIL n'est pas opposée à la réécriture des politiques de confidentialité, afin de les rendre plus courtes à lire et plus claires à comprendre, ce travail ne doit pas "réduire l'information fournie aux personnes". La firme de Mountain View est invitée à présenter ses règles avec 3 niveaux de détails, afin d'assurer "une information conforme aux exigences de la directive sans dégrader l'expérience des utilisateurs".

La CNIL souligne également que Google propose de nombreux outils et services qui s'intègrent à des sites tiers. Cela va du bouton "+1" à Google+, en passant par AdSense et AdWords. Tous ces services interagissent passivement avec les internautes, ces derniers ne bénéficient alors d'aucune information, en particulier ceux qui n'ont pas de compte chez Google.

Le contrôle par les utilisateurs

Avec les nouvelles règles de confidentialité instaurées par Google a été introduit la combinaison de données entre ses services. Or, cette combinaison de données "est extrêmement étendue en termes de périmètres et d'historique des données". Pour la CNIL, certains rapprochements sont excessifs, incontrôlés et présentent même "des irrégularités au regard de la loi".

"Google doit s'engager publiquement sur le respect règles protection données" et "redonner à l'utilisateur une maîtrise de ses données". La CNIL suggère notamment un droit d'opposition simplifié (opt-out) pour que les utilisateurs puissent signaler les services qui n'ont pas le droit de combiner leurs données personnelles. La CNIL relève en effet cette combinaison poursuit des buts différents selon les services.

"La législation européenne de protection des données prévoit un cadre précis pour les traitements de données personnelles. Google doit disposer d'une base légale pour réaliser la combinaison de données pour chacune de ces finalités. La collecte doit également demeurer proportionnée aux finalités poursuivies", écrit l'autorité, dont l'audit a été approuvé unanimement par les 27 membres du G29.

La durée de conservation

Dernier grand reproche, l'absence d'engagement de Google sur des durées de conservation des données personnelles. Cette position tranche avec celle de Microsoft, qui s'est engagé en janvier 2010 à réduire le délai de conservation des données personnelles pour son moteur de recherche Bing de dix-huit à six mois. Ce faisant, Bing s'est conformé aux recommandations du G29.

Selon Le Monde, Google a obtenu les conclusions de la CNIL dès le 29 septembre, l'autorité ayant choisi de l'informer "par courtoisie" avant la conférence de presse, malgré la coopération médiocre de Google sur ce dossier, la CNIL ayant relevé de "nombreuses imprécisions". Mais depuis la transmission de l'audit, le géant américain n'a toujours pas réagi officiellement aux reproches des Européens.

Il reste désormais à Google de s'engager à respecter les principes de la CNIL en matière de collecte, de finalité et d'opposition des personnes. "Nous avons bon espoir que le groupe se conformera à nos recommandations", assure la présidente de la CNIL. Dans le cas contraire, "nous avons les moyens de mettre en route une procédure contentieuse".