Ces derniers mois, différentes procédures et condamnations ont touché Google au sujet de l'unification de sa politique de vie privée et de données personnelles mise en place en 2012. Suite à cela, le G29, regroupant les CNIL européennes, vient de dévoiler un pack de mesures pratiques pour « aider » Google à se mettre en conformité.
« Répondre aux exigences du cadre juridique européen »
Au tout début de cette année, la CNIL infligeait une amende de 150 000 euros à Google pour plusieurs manquements relatifs à la loi « Informatique et Libertés », ceci vis-à-vis de ses règles unifiées entre tous ses services. Si la somme en elle-même était plus symbolique qu'autre chose pour un géant comme Google, ce dernier devait surtout afficher le message de condamnation sur sa page d'accueil. Néanmoins, la CNIL n'a pas été la seule commission à s'attaquer au géant de la recherche en ligne sur ses règles sur les données personnelles (voir l'exemple espagnol).
Le G29, qui regroupe ce que l'on peut appeler les CNIL européennes, vient ainsi de dévoiler un pack de mesures pratiques « afin d'accompagner la société Google dans ses efforts de conformité à la suite de ces décisions ». La commission française précise même qu'il a pour but de proposer à l'Américain « des mesures précises et pratiques qui pourraient être mises en œuvre rapidement par la société, pour répondre aux exigences du cadre juridique européen en matière de données personnelles ».
Le consentement préalable
Concrètement, ce pack est divisé en trois parties. La première, sur l'information, comporte dix sous-parties. Le G29 préconise par exemple de rendre accessible et visible la politique de confidentialité via un clic, et sans défilement si possible, ceci à partir de n'importe quelle page du service. Cette politique doit aussi fournir une liste exhaustive des types de données à caractère personnel traitées par la société, tandis que les objectifs de la collecte de ces données doivent aussi être précisés.
Google pourrait de plus informer ses utilisateurs passifs, notamment vis-à-vis de leurs données analysées par Analytics. Le G29 propose même de demander le consentement préalable des internautes européens. Mieux encore, « Google pourrait exiger des sites utilisant Google Analytics d'afficher des informations appropriées en ce qui concerne la présence du service et d'obtenir le consentement préalable ». Même logique concernant DoubleClick, sa régie publicitaire. Les CNIL européennes poussent même le bouchon encore plus loin en indiquant que ses recommandations pour Analytics et DoubleClick pourraient être généralisées « à tous les services qui sont utilisés par les utilisateurs passifs ».
Toujours concernant la première partie sur l'information à l'internaute, le G29 propose de personnaliser les politiques de confidentialité en fonction de chaque service (recherche, Gmail, etc.), c'est-à-dire d'afficher uniquement les traitements de données propres à ces services.
Un meilleur tableau de bord pour contrôler ses données
Le deuxième volet porte sur les contrôles des utilisateurs sur leurs données. Intégrant six sous-parties, il recommande notamment à Google de mettre en place un tableau de bord sur tous ses services, y compris pour les utilisateurs passifs, ceci afin de permettre aux internautes de mieux gérer leurs données.
Le G29 propose aussi d'utiliser plusieurs cookies différents en fonction de chaque service, ceci afin de « permettre aux utilisateurs d'exercer un plus grand contrôle ». Le consentement de l'utilisateur doit toutefois être demandé.
La question du stockage des données
Enfin, la troisième partie traite de la politique de conservation des données par Google. Ne comprenant que trois sous-parties, elle suggère à l'Américain de « définir des politiques de conservation de toutes les données à caractère personnel », que ce soit sur les utilisateurs actifs et passifs. Les stratégies de rétention devraient être envoyées aux régulateurs européens, sachant que la période de rétention des données « doit être justifiée et devrait être spécifique à chaque objectif et sur une base juridique ».
Le G29 souhaiterait aussi que Google fasse preuve de clarté sur les traitements des données personnelles appliqués à un ancien internaute actif qui n'est plus venu sur ses sites depuis une période définie. Enfin, le processus d'anonymisation devrait être décrit par le géant du Web.
Notez que toutes ces recommandations ne sont pas des obligations. Les CNIL européennes indiquent bien qu'il s'agit là d'un guide pour aider Google à se conformer à la législation en vigueur. Le G29 parle d'ailleurs ici de « potentielles solutions » applicables par le moteur de recherche. « Les recommandations sont fournies seulement à titre indicatif et peuvent ne pas être les seuls moyens par lesquels Google pourrait se mettre en conformité » rajoutent-elles. Ces dernières précisent toutefois que ce guide « ne préjuge pas des mesures d'exécution par les autorités nationales fondées sur le droit national ».
Commentaires (7)
Wow le fait d’informer aux utilisateurs d’analytics
" />
" />
" />
Après le bandeau ATTENTION ON UTILISE DES COOKIES, les popup “ATTENTION ON A DES ANALYTICS” des différents services utilisés
Maintenant je suis pour toutes ces propositions (en particulier améliorer le tableau de bord, ça serait une TRES bonne idée), mais j’ai un peu de mal à voir comment se traduirait le truc des analytics … mais surtout, pour moi ça tuerai completement l’idée des analytics … le but étant d’avoir une vision “globale” de ce que fait la population, si ça devient “opt in” (ou même opt out), ça ne sert plus à rien d’avoir un analytique
have, at least, the following characteristics:
a. The privacy policy is structured so as to provide clear, unambiguous and
comprehensive information regarding the data processing.
b. It provides an exhaustive list of the types of personal data processed by
Google.
c. It provides an exhaustive list of all the purposes for which personal data are
processed by Google.
d. It provides information about the identity of the data controller and gives
an address so that individuals can exercise their rights. This specifically
includes the obligation to clearly identify Google as data controller on the
YouTube service.
Et là j’ai doucement ris, ça n’arrivera jamais! (a-b-c-d)
Et là à nouveau j’ai doucement ris jaune cette fois-ci, ça n’arrivera jamais! c’est leur fond de commerce. Même si je suis le premier à être contre la collecte et l’exploitation de google (exclu le référencement).
Maintenant si la CNIL arrive à faire appliquer ne serait-ce que ça, je dis! BRAVO et merci!.
ri*
le sous titre
" />
" />
Aux dernieres nouvelles Google avait répondu avoir montré ses algo aux agents responsables. Et ceux ci avaient déterminés que l’algo ne consistait pas en une infraction au regard monopole / détournement des recherche pour vanter ses produits
donc la, c’est reparti, mais version Vie privée, au lieu de version “ droit à la concurrence”? C’est vrai, c’est juridiquement un autre sujet …
Ils sont mignon de taper sur Google vis à vis de tout ça, mais Google fait parti des rares à proposer un tableau de bords tout court. J’ai pas de tableau de bord sur mon compte Microsoft (si il y en a un, il est bien planqué) pourtant ils sont pas emmerdés.
Je cherche pas à défendre Google ou taper sur Microsoft, mais faudrait mettre tout le monde sur un pied d’égalité. Le tableau de bord de Google je le trouve CLAIR et PRÉCIS dans son état actuel, depuis le dit tableau j’ai accès aux panneau de config de tous les services Google et j’ai même des boutons de suppressions des services.
Pendant que j’y pense et que la CNIL a déjà un beau PDF, c’est pour quand l’application des points : 2/a.b.c.d et 4 sur nos 100+.bases de données nationales,vous savez les fichiers commençants par P*, S*, F*, etc?
Ah oui, trop occupé avec google probablement.