Google a été sommé par les autorités de protection des données européennes de modifier ses nouvelles règles de confidentialité entrées en vigueur le 1er mars dernier. L'autorité française CNIL vient de publier les conclusions communes de plusieurs mois d'enquête sur le sujet. Les 27 autorités européennes recommandent une information plus claire des personnes et demandent à Google d’offrir aux utilisateurs un meilleur contrôle de la combinaison de données entre les nombreux services qu’elle propose. Enfin, elles souhaitent que Google modifie les outils utilisés afin d’éviter une collecte excessive de données.
Dans le courrier adressé à Google, les autorités européennes estiment que le géant de l'Internet doit "prendre des mesures effectives et publiques pour se mettre en conformité rapidement". De plus, elles demandent à la société américaine de leur "indiquer comment et dans quel délai elle va mettre à jour sa politique de confidentialité et ses pratiques pour intégrer ses recommandations".
Enquête par la CNIL sur les nouvelles règles de confidentialité de Google
Le groupe de l'Article 29 (G29) réunissant toutes les autorités de contrôle avait d'ailleurs vivement critiqué la nouvelle politique de Google en février 2012. Cette politique simplifiée permet au géant américain d'unifier tous ses utilisateurs, et par conséquent de partager plus aisément leurs données entre les différents services comme Gmail, Google+ ou YouTube.
Face aux nombreuses questions soulevées par ces changements, la CNIL a été mandatée par le G29 pour conduire une enquête. Google n'a pas fourni de réponses satisfaisantes à deux questionnaires de la CNIL sur des points essentiels comme la description de tous les traitements ou la liste précise des plus de 60 politiques de confidentialité qui ont été fusionnées dans les nouvelles règles.
Selon le G29, l’analyse menée ne permet pas de s’assurer que Google respecte les principes essentiels des règles européennes en matière de protection des données personnelles que sont la limitation de finalité, la qualité et la minimisation des données, la proportionnalité et le droit d’opposition. En effet, les nouvelles règles de confidentialité suggèrent l’absence de toute limite concernant le périmètre de la collecte et les usages potentiels des données personnelles. Google a "également refusé expressement de répondre sur une durée maximale de conservation des données" a indiqué la présidente de la Cnil, Isabelle Falque-Pierrotin.
Manque de transparence
Google ne fournit pas suffisamment d'informations aux utilisateurs sur ses traitements de données personnelles. Ceux-ci sont incapables de déterminer quelles sont les données personnelles utilisées pour ce service et les finalités exactes pour lesquelles ces données sont traitées.
En l'occurence, les règles de Google ne font pas de différence de traitement entre le contenu anodin d'une recherche et les communication téléphoniques de l'utilisateur. Toutes ces données peuvent être utilisées indifféremment pour toutes les finalités mentionnées dans les règles.
Pas de contrôle sur la combinaison des données entre les différents services
Toute activité en ligne liée à Google (l’utilisation de ses services, de son système Android ou la consultation de sites tiers utilisant des services Google) peut être rassemblée et combinée. Le G29 relève que cette combinaison poursuit des finalités différentes comme la fourniture du service demandé par la personne, le développement de nouveaux produits, la sécurité, la publicité, la création du compte Google ou encore la recherche académique.
Google doit disposer d’une base légale pour réaliser la combinaison de données pour chacune de ces finalités. La collecte doit également demeurer proportionnée aux finalités poursuivies. Or, pour certaines de ces finalités, notamment la publicité, Google ne peut pas s’appuyer sur le consentement de la personne, l’intérêt légitime de Google ou l’exécution d’un contrat. L'entreprise américaine doit donc modifier ses pratiques en donnant plus de contrôle aux utilisateurs sur leurs données.