Que s'est-il passé depuis que Google a été condamné par la CNIL en janvier 2014 à verser 150 000 euros d'amende (soit deux minutes de chiffre d'affaires) et à publier un message pendant un week-end, pour avoir massivement violé les droits à la protection des données personnelles des internautes, et ignoré les mises en garde ? Près d'un an après cette condamnation aussi symbolique qu'oubliée du grand public, rien n'a changé. Evidemment.
Mais pour ne pas baisser les bras, le G29 qui regroupe tous les homologues européens de la CNIL a décidé de rendre public ce jeudi un "pack de mesures" suggérées à Google pour se mettre enfin en conformité. Hasard ou coïncidence, le communiqué est publié comme un pied de nez le jour-même où Google organise à Paris une réunion de son comité consultatif sur le droit à l'oubli, qui énerve beaucoup la CNIL.
"En 2012, Google a décidé de fusionner en une seule politique les différentes règles de confidentialité applicables à une soixantaine de ses services, dont Google Search, YouTube, Gmail, Picasa, Google Drive, Google Docs, Google Maps, etc.", rappelle le G29. "Du fait du nombre des services en cause, quasiment tous les internautes européens sont concernés par cette décision". Or, dès 2012 les autorités de régulation ont considéré que la nouvelle politique de vie privée de Google imposée aux internautes n'était pas conforme au droit européen, ce qui a conduit à plusieurs condamnations en Europe. Mais malgré les condamnations, Google a toujours continué à faire la sourde oreille, démontrant là une certaine arrogance, voire une arrogance certaine.
Le pack de mesures (.pdf) que le G29 dévoile a "pour objectif de proposer à Google des mesures précises et pratiques qui pourraient être mises en œuvre rapidement par la société, pour répondre aux exigences du cadre juridique européen en matière de données personnelles". Il n'a toutefois aucune force juridique contraignante, ce qui laisse peu d'espoir sur son application.
Concrètement, les CNIL européennes suggèrent notamment à Google de :
- Rendre plus accessible la politique de vie privée, en permettant son accès en un clic depuis n'importe quelle page de tous les services Google ;
- Avoir un langage clair, précis, qui n'offre aucune ambiguïté, par exemple sur le type de données collectées et traitées ou l'objet du traitement. Le G29 demande que tout soit détaillé avec exhaustivité. Actuellement, Google détaille certaines collectées mais ajoute beaucoup plus discrètement que les données traitées peuvent inclure "tous les contenus qui passent par nos systèmes". Les CNIL souhaitent aussi que Google dise "nous collectons ceci", plutôt que "nous sommes susceptibles de", qui laisse un doute ;
- Informer les internautes sur l'identité des "partenaires" qui sont autorisés à collecter des données sur les services de Google ;
- S'assurer que les internautes dont l'activité est tracée par l'utilisation par des sites tiers de Google Analytics ou des publicités DoubleClick soient mieux informés, et donnent leur consentement (par exemple via un code javascript adapté) ;
- Créer une forme de "politique de vie privée personnalisée", composée en fonction des services utilisés ;
- Rendre plus accessible l'actuel "dashboard" qui permet de faire le tour des autorisations et historiques de données collectées, et le rendre disponible pour les utilisateurs non inscrits sur Google qui sont tout de même tracés par des cookies ;
- Obtenir le consentement éclairé des utilisateurs avant tout croisement de ses données pour un objet spécifique ;
- Mettre en oeuvre une "politique de rétention des données" qui explicite et justifie le temps de conservation des données collectées pour chaque type de données ;
- Expliciter les méthodes "d'anonymisation des données" lorsqu'elles sont dites recueillies de façon anonyme.
Abonnez-vous gratuitement à Artificielles, notre newsletter sur l’IA, conçue par des IA, vérifiée par Numerama !
