68
rapport d’activité 2012
Les principales conclusions
et recommandations
L’analyse menée ne permet pas de
s’assurer que Google respecte les principes essentiels de la Directive sur la
protection des données personnelles que
sont la limitation de finalité, la qualité et la
minimisation des données, la proportionnalité et le droit d’opposition. En effet, les
nouvelles règles de confidentialité suggèrent l’absence de toute limite concernant
le périmètre de la collecte et les usages
potentiels des données personnelles.
Google fournit des informations
incomplètes ou approximatives sur
les finalités et les catégories des
données collectées
Avec les règles actuelles, l’utilisateur
d’un service Google est incapable de
déterminer quelles sont les données
personnelles utilisées pour ce service et
les finalités exactes pour lesquelles ces
données sont traitées. Il arrive même que
les utilisateurs ne reçoivent aucune information quant aux données qui sont traitées. Tel est le cas des utilisateurs passifs,
c’est-à-dire de ceux qui n’interagissent
avec Google qu’au travers des plateformes
publicitaires tierces ou des boutons “ +1 ”.
Les autorités européennes ont donc
demandé à Google de fournir une information plus claire et plus complète sur
les données collectées et les finalités de
chacun de ces traitements de données
personnelles. Par exemple, les autorités
européennes ont recommandé la mise
en place d’une présentation avec trois
niveaux de détails qui assurera une information conforme aux exigences de la
Directive sans dégrader l’expérience des
utilisateurs. L’ergonomie de la lecture des
règles pourrait également être améliorée
grâce à des présentations interactives.
Google ne permet pas
le contrôle par les utilisateurs de
la combinaison de données entre
ses nombreux services
La combinaison de données entre services a été généralisée avec les nouvelles
règles de confidentialité : concrètement
toute activité en ligne liée à Google (l’utilisation de ses services, de son système
Android ou la consultation de sites tiers
utilisant des services Google) peut être
rassemblée et combinée.
Les CNIL européennes relèvent que
cette combinaison poursuit des finalités
différentes. Il s’agit :
• de la fourniture de services où l’utilisateur demande la combinaison des
données,
• de la fourniture de services demandés
par l’utilisateur et où la combinaison
s’opère sans que l’utilisateur en soit directement informé,
• de la finalité de sécurité,
• du développement de produits et d’innovation marketing,
• de la mise à disposition du Compte
Google,
• de la publicité,
• de l’analyse de fréquentation,
• de recherche universitaire.
La législation européenne prévoit
un cadre précis pour les traitements de
données personnelles et exige notamment
que le responsable de traitement dispose
d’une base légale et que la collecte soit
proportionnée aux finalités poursuivies. Or, pour certaines de ces finalités,
notamment la publicité, Google ne peut
s’appuyer ni sur le consentement de la
personne, ni sur son intérêt légitime, ni
sur l’exécution d’un contrat.
Google doit donc modifier ses
pratiques et notamment : renforcer le
consentement des personnes pour la
combinaison des données pour certaines
finalités, offrir un meilleur contrôle des
utilisateurs sur la combinaison de données en centralisant et simplifiant le droit
d’opposition (opt-out) et en leur permettant de choisir pour quels services leurs
données sont combinées, et enfin adapter
ses outils afin de limiter cette combinaison aux finalités autorisées.
Google ne précise pas les durées
de conservation des données
récoltées
Enfin, en dépit des questions précises
et réitérées soumises par les CNIL européennes, Google n’a pas été en mesure de
fournir une durée maximale ou habituelle
de conservation des données personnelles
traitées.
Les CNIL européennes ont donc
demandé à Google de respecter le principe d’une durée de conservation strictement limitée au regard des finalités.
La CNIL et les autorités européennes
accueillent favorablement l’initiative de
Google de réduire et de simplifier ses
règles de confidentialité. Toutefois, cette
évolution ne doit pas se faire au prix d’une
information moins transparente et moins
complète. Google dispose de quatre mois
à compter du 16 octobre 2012 pour se
mettre en conformité sur les différents
points évoqués.