Vie privée : les CNIL européennes dévoilent des mesures pour « aider » Google

Au cas où il aurait un peu de mal

Le 25 septembre 2014 à 14h20

5 min

Droit

Ces derniers mois, différentes procédures et condamnations ont touché Google au sujet de l'unification de sa politique de vie privée et de données personnelles mise en place en 2012. Suite à cela, le G29, regroupant les CNIL européennes, vient de dévoiler un pack de mesures pratiques pour « aider » Google à se mettre en conformité.

« Répondre aux exigences du cadre juridique européen »

Au tout début de cette année, la CNIL infligeait une amende de 150 000 euros à Google pour plusieurs manquements relatifs à la loi « Informatique et Libertés », ceci vis-à-vis de ses règles unifiées entre tous ses services. Si la somme en elle-même était plus symbolique qu'autre chose pour un géant comme Google, ce dernier devait surtout afficher le message de condamnation sur sa page d'accueil. Néanmoins, la CNIL n'a pas été la seule commission à s'attaquer au géant de la recherche en ligne sur ses règles sur les données personnelles (voir l'exemple espagnol).

Le G29, qui regroupe ce que l'on peut appeler les CNIL européennes, vient ainsi de dévoiler un pack de mesures pratiques « afin d'accompagner la société Google dans ses efforts de conformité à la suite de ces décisions ». La commission française précise même qu'il a pour but de proposer à l'Américain « des mesures précises et pratiques qui pourraient être mises en œuvre rapidement par la société, pour répondre aux exigences du cadre juridique européen en matière de données personnelles ».

Le consentement préalable

Concrètement, ce pack est divisé en trois parties. La première, sur l'information, comporte dix sous-parties. Le G29 préconise par exemple de rendre accessible et visible la politique de confidentialité via un clic, et sans défilement si possible, ceci à partir de n'importe quelle page du service. Cette politique doit aussi fournir une liste exhaustive des types de données à caractère personnel traitées par la société, tandis que les objectifs de la collecte de ces données doivent aussi être précisés.

Google pourrait de plus informer ses utilisateurs passifs, notamment vis-à-vis de leurs données analysées par Analytics. Le G29 propose même de demander le consentement préalable des internautes européens. Mieux encore, « Google pourrait exiger des sites utilisant Google Analytics d'afficher des informations appropriées en ce qui concerne la présence du service et d'obtenir le consentement préalable ». Même logique concernant DoubleClick, sa régie publicitaire. Les CNIL européennes poussent même le bouchon encore plus loin en indiquant que ses recommandations pour Analytics et DoubleClick pourraient être généralisées « à tous les services qui sont utilisés par les utilisateurs passifs ».

Toujours concernant la première partie sur l'information à l'internaute, le G29 propose de personnaliser les politiques de confidentialité en fonction de chaque service (recherche, Gmail, etc.), c'est-à-dire d'afficher uniquement les traitements de données propres à ces services.

Un meilleur tableau de bord pour contrôler ses données

Le deuxième volet porte sur les contrôles des utilisateurs sur leurs données. Intégrant six sous-parties, il recommande notamment à Google de mettre en place un tableau de bord sur tous ses services, y compris pour les utilisateurs passifs, ceci afin de permettre aux internautes de mieux gérer leurs données.

Le G29 propose aussi d'utiliser plusieurs cookies différents en fonction de chaque service, ceci afin de « permettre aux utilisateurs d'exercer un plus grand contrôle ». Le consentement de l'utilisateur doit toutefois être demandé.

La question du stockage des données

Enfin, la troisième partie traite de la politique de conservation des données par Google. Ne comprenant que trois sous-parties, elle suggère à l'Américain de « définir des politiques de conservation de toutes les données à caractère personnel », que ce soit sur les utilisateurs actifs et passifs. Les stratégies de rétention devraient être envoyées aux régulateurs européens, sachant que la période de rétention des données « doit être justifiée et devrait être spécifique à chaque objectif et sur une base juridique ».

Le G29 souhaiterait aussi que Google fasse preuve de clarté sur les traitements des données personnelles appliqués à un ancien internaute actif qui n'est plus venu sur ses sites depuis une période définie. Enfin, le processus d'anonymisation devrait être décrit par le géant du Web.

Notez que toutes ces recommandations ne sont pas des obligations. Les CNIL européennes indiquent bien qu'il s'agit là d'un guide pour aider Google à se conformer à la législation en vigueur. Le G29 parle d'ailleurs ici de « potentielles solutions » applicables par le moteur de recherche. « Les recommandations sont fournies seulement à titre indicatif et peuvent ne pas être les seuls moyens par lesquels Google pourrait se mettre en conformité » rajoutent-elles. Ces dernières précisent toutefois que ce guide « ne préjuge pas des mesures d'exécution par les autorités nationales fondées sur le droit national ».

Commentaires (7)

Abonnez-vous pour prendre part au débat

Déjà abonné ? Se connecter

Cet article est en accès libre, mais il est le fruit du travail d'une rédaction qui ne travaille que pour ses lecteurs, sur un média sans pub et sans tracker. Soutenez le journalisme tech de qualité en vous abonnant.

Accédez en illimité aux articles

Profitez d’un média expert et unique

Intégrez la communauté et prenez part aux débats

Partagez des articles premium à vos contacts

Abonnez-vous

atomusk

Le 25/09/2014 à 14h34

Wow le fait d’informer aux utilisateurs d’analytics " />

Après le bandeau ATTENTION ON UTILISE DES COOKIES, les popup “ATTENTION ON A DES ANALYTICS” des différents services utilisés " />

Maintenant je suis pour toutes ces propositions (en particulier améliorer le tableau de bord, ça serait une TRES bonne idée), mais j’ai un peu de mal à voir comment se traduirait le truc des analytics … mais surtout, pour moi ça tuerai completement l’idée des analytics … le but étant d’avoir une vision “globale” de ce que fait la population, si ça devient “opt in” (ou même opt out), ça ne sert plus à rien d’avoir un analytique " />

pufff

Le 25/09/2014 à 15h21

To ensure that the information is accurate and comprehensive, the privacy policy must

have, at least, the following characteristics:

a. The privacy policy is structured so as to provide clear, unambiguous and

comprehensive information regarding the data processing.

b. It provides an exhaustive list of the types of personal data processed by

Google.

c. It provides an exhaustive list of all the purposes for which personal data are

processed by Google.

d. It provides information about the identity of the data controller and gives

an address so that individuals can exercise their rights. This specifically

includes the obligation to clearly identify Google as data controller on the

YouTube service.

Et là j’ai doucement ris, ça n’arrivera jamais! (a-b-c-d)

When Google allows new entities to collect data, it must clearly inform users about the new recipients and the data they are allowed to collect. For instance, Google recently added “and our partners” to the set of entities that may collect anonymous identifiers when users visit Google services. However, Google did not inform about what type of entities these partners are and how they will use the collected data.

Et là à nouveau j’ai doucement ris jaune cette fois-ci, ça n’arrivera jamais! c’est leur fond de commerce. Même si je suis le premier à être contre la collecte et l’exploitation de google (exclu le référencement).

Maintenant si la CNIL arrive à faire appliquer ne serait-ce que ça, je dis! BRAVO et merci!.

pufff

Le 25/09/2014 à 15h31

ri*

garn

Le 25/09/2014 à 15h32

le sous titre " />

Aux dernieres nouvelles Google avait répondu avoir montré ses algo aux agents responsables. Et ceux ci avaient déterminés que l’algo ne consistait pas en une infraction au regard monopole / détournement des recherche pour vanter ses produits

donc la, c’est reparti, mais version Vie privée, au lieu de version “ droit à la concurrence”? C’est vrai, c’est juridiquement un autre sujet … " />

pufff

Le 25/09/2014 à 18h55

garn a écrit :

le sous titre " />

Aux dernieres nouvelles Google avait répondu avoir montré ses algo aux agents responsables. Et ceux ci avaient déterminés que l’algo ne consistait pas en une infraction au regard monopole / détournement des recherche pour vanter ses produits

donc la, c’est reparti, mais version Vie privée, au lieu de version “ droit à la concurrence”? C’est vrai, c’est juridiquement un autre sujet … " />

Prise en sandwich pour alimenter une fausse négociation?

Une prise à deux point “Grip” par l’Europe, un étant fixe: le droit à la concurence, l’autre variable: la collecte et le traitement. Les termes pourraient devenir, si vous vous nous donnez vos recettes (Algo et autres formules magiques), nous pourrions adoucir nos exigeances concernant l’application des “mesures pour les nuls”.

Qui sait

Zulgrib

Le 25/09/2014 à 20h09

Ils sont mignon de taper sur Google vis à vis de tout ça, mais Google fait parti des rares à proposer un tableau de bords tout court. J’ai pas de tableau de bord sur mon compte Microsoft (si il y en a un, il est bien planqué) pourtant ils sont pas emmerdés.

Je cherche pas à défendre Google ou taper sur Microsoft, mais faudrait mettre tout le monde sur un pied d’égalité. Le tableau de bord de Google je le trouve CLAIR et PRÉCIS dans son état actuel, depuis le dit tableau j’ai accès aux panneau de config de tous les services Google et j’ai même des boutons de suppressions des services.

pufff

Le 25/09/2014 à 21h19

Pendant que j’y pense et que la CNIL a déjà un beau PDF, c’est pour quand l’application des points : 2/a.b.c.d et 4 sur nos 100+.bases de données nationales,vous savez les fichiers commençants par P, S, F*, etc?

Ah oui, trop occupé avec google probablement.