La Cnil fronce les sourcils face à Google
Octobre 2012 : la Cnil et ses consœurs européennes tapent sur les doigts de Google pour sa gestion des données personnelles d’internautes. « Google a quelques mois — trois ou quatre — pour se mettre en conformité avec la législation européenne, préviennent alors les autorités de protection des données. S’il ne prend aucune mesure, alors nous entrerons dans une phase contentieuse. » Quatre mois ont passé, et Google n’a pas donné signe de vie. Chose promise, chose due : la phase contentieuse est enclenchée.. ou presque : les Cnil proposent aujourd’hui « la mise en place d’un groupe de travail pour coordonner leur action répressive ».
L’enquête a débuté quand Google a présenté, tout fier de lui, une grande simplification de ses conditions générales d’utilisation en janvier 2012. Gmail, Google Maps, Calendar, YouTube, Blogger... 60 des services made in Mountain View ont vu leurs « CGU » fusionnées en un seul document. Une opération problématique selon la Cnil : si tous les services répondent aux mêmes règles, l’internaute devient « incapable de déterminer quelles sont les données personnelles utilisées pour tel service et les finalités exactes pour lesquelles ces données sont traitées. » En bref : plus c’est « simple », plus c’est flou. Un deuxième point sensible concernait le croisement des données induit par la fusion des CGU : historique de navigation Internet, reconnaissance faciale sur les photos Picasa, communications sur les téléphones Android... Une fois interconnectées, ces informations aboutissent à la constitution d’un fichier trop vaste « en termes de périmètre et d’historique ».
Selon la Cnil, le croisement des données induit par la fusion des CGU a mené Google à la constitution d’un fichier trop vaste.
Deux questionnaires ont alors été envoyées à Google par le groupe des Cnil européennes pour apporter un peu de lumière sur le traitement et le croisement de ces milliards de données. Les instances ont également recommandé « une information plus claire des personnes et un meilleur contrôle par les utilisateurs de la combinaison de données entre les nombreux services offerts par Google », et demandé à Google de « préciser les durées de conservation des données. »
Mais Google a fait la sourde oreille. « A l’expiration du délai de 4 mois accordé à Google pour se mettre en conformité et s’engager sur la mise en œuvre de ces recommandations, aucune réponse n’a été apportée par la société », constate la Cnil aujourd’hui. L’heure des sanctions arrivera donc « avant l’été », suite à la mise en place d’un groupe de travail européen.
Google a déjà réagi, feignant l’étonnement : « Notre politique de confidentialité respecte la loi européenne et nous permet d’offrir des services plus simples et plus efficaces », expliquent-ils à l’AFP avec leur plus grand sourire — comme si leur « efficacité » avait un jour été mise en cause... « Nous nous sommes pleinement impliqués tout au long des échanges avec la Cnil, et nous continuerons à le faire ». Peut-être qu’il serait temps, alors, de répondre à ses exigences.