La CNIL, désignée par le groupe de travail de l’article 29 (G29) pour mener les investigations sur les nouvelles règles de confidentialité de Google applicables depuis le 1er mars 2012, a choisi de donner une large publicité à ses conclusions adressées à la firme de Mountain View le 16 octobre 2012, sous la forme d’une lettre synthétisant les constats opérés et les attentes de l’ensemble des autorités européennes de protection des données.
A l’issue de huit mois d’investigations, le G29 confirme sans grande surprise les critiques émises dans le premier communiqué de la CNIL du 28 février 2012 [Voir article Netcom Mars 2012], l’apport des conclusions des autorités européennes résidant dès lors essentiellement dans les recommandations formulées à l’attention de Google et sur lesquelles la CNIL indique désormais attendre des engagements précis, encadrés par une proposition de calendrier.
Le communiqué de la CNIL du 28 février 2012 pointait trois principaux sujets d’inquiétude : l’information des utilisateurs jugée insuffisante sur les finalités des traitements mis en œuvre et les catégories de données collectées, la combinaison des données entre les différents services Google, et la durée de conservation des données considérée comme trop imprécise.
Dans sa lettre du 16 octobre 2012, la CNIL revient sur ces différents points en soulignant tout d’abord que les critères fixés par la Directive européenne concernant le droit applicable en matière de traitements données sont pleinement remplis en l’espèce compte tenu de la localisation des services de Google, à travers ses filiales implantées notamment en Irlande, en France ou au Royaume-Uni, mais également en raison de l’utilisation de moyens traitements situés dans l’UE, en particulier les cookies stockés sur les appareils des utilisateurs.
Sur la base de cette observation préliminaire, la CNIL somme Google de se mettre en conformité avec les dispositions des directives « Données personnelles » 95/46/CE et Vie Privée 2002/58/CE, tant à l’égard des utilisateurs authentifiés (Gmail, Google Play, Google + …), que des utilisateurs non authentifiés (Search, Maps, Youtube…) et des utilisateurs dits passifs (DoubleClick, Google Analytics, boutons « +1 »…).
L’information des utilisateurs est une préoccupation centrale des autorités de protection européennes qui considèrent que les nouvelles règles de confidentialité de Google se limitent à des informations formulées dans des termes trop généraux, ou approximatifs, ou incomplets tant en ce qui concerne les finalités des traitements que les données collectées.
A cet égard, le G29 recommande à Google de mettre en place une information à trois niveaux différents et complémentaires : dès l’utilisation d’un service pour la première fois, l’internaute devrait être averti du traitement de ses données par Google, cette information étant complétée à un second niveau par les Règles de confidentialité actuelles qui devraient être présentées comme un guide général renvoyant l’utilisateur, (3e niveau d’information) à des informations détaillées sur chacun des services et sur les traitements spécifiques opérés dans ce cadre.
En ce qui concerne les utilisateurs d’appareils mobiles, le G29 relève que ces derniers rencontrent des difficultés lorsqu’ils utilisent les services de Google sur de petits écrans ne permettant pas d’avoir accès à l’intégralité des notes de confidentialités intégrées aux produits Google. Selon le G29, il appartient à Google de développer les outils spécifiques pouvant inclure des applications dédiées ou des réglages sur Android.
S’agissant des utilisateurs dits « passifs », c’est-à-dire ceux dont les données sont collectées et analysées lors des interactions sur les sites web tiers (notamment les sites affichant des annonces DoubleClick), le G29 considère qu’il appartient également à Google de s’assurer que ces utilisateurs sont correctement informés des traitements qui les concernent (ce qui est un point délicat à traiter, l’information étant dans ce cas essentiellement maîtrisée par les sites supports).
Au-delà de l’information, la question de la « combinaison » des données collectées sur l’ensemble des services Google donne lieu à des demandes précises du G29. L’on sait que cette combinaison peut résulter de l’utilisation de plusieurs outils : le compte Google, le cookie associé aux interactions de l’utilisateur avec tout site web du domaine google.com, les cookies DoubleClick ou Google Analytics associés aux interactions de l’utilisateur avec des sites web de tiers et enfin les identifiants associés à certaines applications mobiles. La combinaison de ces données permet de remplir de multiples finalités : la fourniture de certains services, la sécurité, la publicité ciblée, l’analyse de fréquentation…
Le G29 admet que la combinaison de ces données repose sur un intérêt légitime au sens de l’article 7 de la Directive pour certaines des finalités identifiées (en particulier la sécurité), le consentement de l’utilisateur n’étant dès lors pas requis. A l’inverse, la combinaison des données à des fins notamment de publicité ou d’analyse de fréquentation devrait, selon le G29, nécessairement être précédée d’une demande d’accord auprès de l’utilisateur et d’une information totalement claire sur la combinaison envisagée.
Enfin, s’agissant de la durée de conservation des données, le G29 estime que Google ne fournit pas d’information relative à la durée de conservation des données (hormis les 2 ans pour les cookies publicitaires, et les 18 mois d’historique de recherche pour le cookie associé aux interactions de l’utilisateur sur les sites du domaine google.com). Il est là aussi demandé à Google de s’engager sur des durées strictement limitées au regard des finalités des différents traitements.
La prochaine étape sera donc la réponse de Google sur chacun de ces points et l’examen par le G29 des engagements attendus. Dans l’hypothèse où Google ne répondrait pas de manière satisfaisante, la CNIL laisse entendre que les autorités européennes de protection lanceront des procédures contentieuses.
Hélèna DELABARRE