Imprimer

Google dans les bibliothèques, Google sur la route, Google sur les mobiles, Google omniprésent, en quête permanente de ce qui fait sa fortune (bénéfice net de 2,56 milliards d'euros pour le premier trimestre de cette année) : les données des internautes, que la société négocie sur le très juteux marché du micro-ciblage et des ban-nières publicitaires. Fort logique-ment donc, Google travaille sans re-lâche à rendre plus cohérent, plus pertinent, plus détaillé son eldorado numérique : le profil des utilisateurs de ses services. D'où l'annonce en mars de l'année passée d'une rationalisation et d'une glo-balisation des données issues de ceux-ci. En gros, le nombre de règles de confidentialité du géant de la recherche en ligne est passé de soixante-trois à une seule ! Cela a provoqué l'émoi du Groupe 29, chargé en Europe de veiller à la protection des données à caractère personnel et de la vie privée. Le G29 a confié à la CNIL, l'équi-valent français de notre Commission de la protection de la vie privée, le soin d'enquêter sur les (arrières) pensées de Google.

 

 

A la trace
On ne résiste pas à vous faire part des principales conclusions de la- dite enquête. Première mise au point, évidente mais somme toute importante : Google doit respecter les règles en vigueur dans la vieille Europe puisque «Les services de Google sont mis à la disposition physique dans l'Union européenne et les critères de la Directive européenne pour la détermination du droit applicable sont remplis. La législation européenne sur la protection de données s'applique donc aux traitements de données personnelles de Google. » Bon, voilà, on est déjà un peu rassuré. Le G29 identifie trois profils de « clients ». Les utilisateurs enregistrés (sans jeu de mots) qui se font effeuiller sur les Gmail, Google Play et autres Google + tout d'abord. Les « anonymes » ensuite, qui se lâchent sur le célèbre moteur de recherche de la firme de Mountain, se distraient sur YouTube (dis moi ce que tu regardes, je saurai qui tu es), Google Earth (vos destinations nous intéressent). Last but no least, il y a les crédules qui se croient à l'abri en surfant et qui finissent inévitablement par figurer au tableau de chasse des statistiques de DoubleClick.

 

 

Incomplet et approximatif
Que reproche le G29 à Google ? Bassement, il subodore que l'une des icônes les plus rentables du Web 2.0 travaille à collecter un maximum d'informations sur les us et coutumes des internautes, à les consolider pour les exploiter au mieux sur le marché de la pub en ligne. Somme toute, elle récolterait beaucoup plus d'informations que nécessaire pour faire fonctionner ses applications. 
« Google fournit des informations incomplètes ou approximatives sur les finalités et les catégories des données collectées. Les règles de confidentialité mêlent des engagements particulièrement larges et des exemples qui limitent la portée de ces engagements et faussent la perception des utilisateurs quant à la portée exacte des pratiques de Google ». Bien sûr, l'internaute curieux et tenace va pouvoir surfer sur les blogs et centres d'aide de Google mais ces informations s'avèrent « incohérentes d'une source ou d'une langue à l'autre et peuvent être modifiées à tout moment ». D'autant, constate encore le G29, que les règles sont « parfois difficiles à comprendre ».

 

La foire aux coockies
Mais au fait, quels sont les outils que met en œuvre Google pour réconcilier vos données à partir des différents services que vous utilisez ? Il y a tout d'abord le compte Google associé à chaque utilisateur authentifié. Vous entrez votre adresse Gmail, et l'enregistrement commence. Tous vos messages sont scannés et indexés par des robots qui permettront de synchroniser l'apparition de publicités personnalisées. Il y a le cookie PREF associé à chaque visite sur un site enfant du domaine google.com (y compris les boutons « +1 pour les sites Web tiers). Il y a le fameux cookie DoubleClick sur les sites des sociétés et éditeurs faisant appel à la régie pour diffuser des annonces en ligne. Il y a le cookie Google Analytics et différents identifiants mobiles utilisés pour replacer des cookies sur certaines applications mobiles. Le G29 identifie 8 grands objectifs à ces consolidations de données. Répondre à la demande de l'utilisateur, par exemple pour établir le lien entre vos contacts et votre messagerie électronique. Cela peut également se faire avec la volonté de proposer des services demandés par l'utilisateur, mais où la combinaison des données s'applique sans que celui-ci n'en soit directement informé. C'est le cas lors de la personnalisation des résultats de recherche. La combinaison de données peut aussi s'effectuer à des fins de sécurité, de développement de nouveaux produits, de publicité, d'analyse de fréquentation et de recherche universitaire.

 

Pas de base légale une fois sur deux
Et le G29 de constater que pour quatre de ces huit fina-lités, il n'existe pas de base légale pour la combinaison des données entre services. C'est le cas de la fourniture de services où la combinaison de données s'applique sans que l'utilisateur n'en soit directement informé tout comme c'est le cas lorsque Google agit pour des raisons publicitaires, pour procéder à des analyses de fréquentation ou pour développer de nouveaux produits : « Pour ces finalités, il n'y a pas de consentement valable de l'utilisateur, ne serait-ce que parce que l'utilisateur n'a pas de connaissance de la portée exacte de la combinaison de données. Et Google n'a pas fourni d'exemples si-gnificatifs de combinaison de données réalisées pour l'exécution d'un contrat qui auraient pu justifier une collecte et une combinaison de données aussi larges. » Pour le G29, Google doit « demander le consentement des personnes concernées par la combinaison de données à ces fins, et prévoir pour les utilisateurs des mécanismes supplémentaires de contrôle de cette combinaison. » Avec toujours une attention à ce que ces combinaisons de données entre service « respectent les principes de la proportionnalité, de limitation des finalités, de minimisation de données et de droit d'opposition. » 
Pour le G29, Google ne souscrit pas publiquement à ces principes et n'apporte pas de réponse précise à ces questions : « Rien ne garantit pour l'instant que seules les données nécessaires à la finalité sont combinées, l'information des personnes est insuffisante et les mécanismes actuels d'opt-out sont trop complexes et inefficaces. Par exemple, un utilisateur mobile authentifié de Google+ qui ne veut pas d'annonces personnalisées doit aujourd'hui réaliser six actions différentes pour désactiver cette fonctionnalité. »

 

Quand, comment et pourquoi Google collecte-t-il des données ?
Face à ces constats, le G29 demande à Google de fournir des informations complètes sur ses traitements en détaillant pour chacun d'entre-eux les finalités exactes et les données collectées, y compris les données provenant d'autres services. « Cette information doit spécifier les finalités et les catégories de données traitées de manière claire et précise. Le traitement en soi doit être réalisé dans le strict respect des règles de proportionnalité et de minimisation de données, lesquelles règles doivent être reflétées dans l'information fournie. Concernant des données particulièrement sensibles comme la localisation géographique, les données bancaires et afférentes aux cartes de crédit, les identifiants uniques de terminaux et la téléphonie, il faut que soit, selon le G29 « clairement et simplement expliqué aux utilisateurs quand, pourquoi et comment ses données sont collectées et comment ils peuvent s'opposer à la collecte, au stockage ou la combinaison de ces données ». Il faut aussi avoir la possibi-lité d'ouvrir un compte Google sans fournir son vrai nom. Last but not least : l'utilisateur doit être informé de données biométriques pouvant être traitées et recyclées et connaître les conditions de la collecte et du stockage des gabarits faciaux.

 

Pour toujours...
En dépit des questions précises et réitérées par le G29, Google n'a pas été « en mesure » de fournir une durée maximale ou habituelle de conservation des données personnelles traitées : « Cette absence de réponse remet en cause l'efficacité des mécanismes d'opt-out et des actions de suppression sollicitées par l'utilisateur ».

 

Google persiste et signe
Sur la base des conclusions de celle-ci, rendues publiques le 26 octobre 2012, le G29 a demandé à Google de se mettre en conformité, dans un délai de quatre mois. À l'issue de ce délai, Google n'a adopté aucune mesure concrète, si ce n'est en janvier une lettre de la société stipulant qu'elle agissait en conformité avec la législation européenne en vigueur. Des représentants de Google ont été reçus le 19 mars 2013, à leur demande, par un groupe de travail piloté par la CNIL, qui réunit les autorités de protection des données d'Allemagne, d'Espagne, de France, d'Italie, des Pays-Bas et du Royaume-Uni. A l'issue de cette réunion, aucun changement n'a été mis en œuvre. La phase d'analyse par le G29 étant désormais terminée, toutes les autorités du groupe de travail mis en place par le G29 ont décidé d'engager le 2 avril 2013, et chacune en ce qui la concerne, des actions répressives. De son côté, Google persiste et signe : sa nouvelle politique de confidentialité qui fusionne les règles d'utilisation et regroupe les informations de ses différents services respectent les normes européennes. Affaire à suivre, comme on dit...

 

Jean-Luc MANISE

 

 

Sources et infos
Les principales conclusions et recommandations de la CNIL concernant les règles de confidentialité de Google

http://www.cnil.fr/fileadmin/documents/La_CNIL/actualite/GOOGLE_PRIVACY_POLICY-RECOMMENDATIONS-FINAL-FR.pdf

L'action du G29 
http://www.cnil.fr/linstitution/actualite/article/article/regles-de-confidentialite-de-google-le-g29-sengage-dans-une-action-repressive-et-coordonne/

Le site du contrôleur européen de la protection des données : http://www.edps.europa.eu/EDPSWEB/edps/ EDPS? lang=fr

 

 

Opt-out
L'opt-out, vous pouvez, comme la loi vie privée l'exige, vous opposer à tout traitement de vos données à caractère personnel à des fins de marketing direct. L'opt-out est donc l'inverse de l'opt-in. Dans ce cas, vous recevez d'abord un message non sollicité mais avec la possibilité de vous désinscrire, de manière à ne plus recevoir ces messages à l'avenir. Ce système n'est autorisé qu'à condition que l'expéditeur ait obtenu votre adresse (e mail) directement auprès de vous lorsque vous avez acheté un produit ou un service chez lui, qu'il n'utilise votre adresse 
(e-mail) que pour des produits ou services similaires à ceux qu'il fournit lui-même et qu'au moment où il a obtenu votre adresse (e-mail), il vous ait offert la possibilité de vous y opposer gra-tuitement et facilement. En outre, le secteur du marketing direct a également créé les listes Robinson.
Source : Commission de la protection de la vie privée – www.privacycommission.be