Vie privée : les CNIL européennes dévoilent des mesures pour « aider » Google

Vie privée : les CNIL européennes dévoilent des mesures pour « aider » Google

Au cas où il aurait un peu de mal

Avatar de l'auteur

Nil Sanyas

Publié dansDroit

25/09/2014
7
Vie privée : les CNIL européennes dévoilent des mesures pour « aider » Google

Ces derniers mois, différentes procédures et condamnations ont touché Google au sujet de l'unification de sa politique de vie privée et de données personnelles mise en place en 2012. Suite à cela, le G29, regroupant les CNIL européennes, vient de dévoiler un pack de mesures pratiques pour « aider » Google à se mettre en conformité.

« Répondre aux exigences du cadre juridique européen »

Au tout début de cette année, la CNIL infligeait une amende de 150 000 euros à Google pour plusieurs manquements relatifs à la loi « Informatique et Libertés », ceci vis-à-vis de ses règles unifiées entre tous ses services. Si la somme en elle-même était plus symbolique qu'autre chose pour un géant comme Google, ce dernier devait surtout afficher le message de condamnation sur sa page d'accueil. Néanmoins, la CNIL n'a pas été la seule commission à s'attaquer au géant de la recherche en ligne sur ses règles sur les données personnelles (voir l'exemple espagnol).

 

Le G29, qui regroupe ce que l'on peut appeler les CNIL européennes, vient ainsi de dévoiler un pack de mesures pratiques « afin d'accompagner la société Google dans ses efforts de conformité à la suite de ces décisions ». La commission française précise même qu'il a pour but de proposer à l'Américain « des mesures précises et pratiques qui pourraient être mises en œuvre rapidement par la société, pour répondre aux exigences du cadre juridique européen en matière de données personnelles ».

Le consentement préalable

Concrètement, ce pack est divisé en trois parties. La première, sur l'information, comporte dix sous-parties. Le G29 préconise par exemple de rendre accessible et visible la politique de confidentialité via un clic, et sans défilement si possible, ceci à partir de n'importe quelle page du service. Cette politique doit aussi fournir une liste exhaustive des types de données à caractère personnel traitées par la société, tandis que les objectifs de la collecte de ces données doivent aussi être précisés.

 

Google pourrait de plus informer ses utilisateurs passifs, notamment vis-à-vis de leurs données analysées par Analytics. Le G29 propose même de demander le consentement préalable des internautes européens. Mieux encore, « Google pourrait exiger des sites utilisant Google Analytics d'afficher des informations appropriées en ce qui concerne la présence du service et d'obtenir le consentement préalable ». Même logique concernant DoubleClick, sa régie publicitaire. Les CNIL européennes poussent même le bouchon encore plus loin en indiquant que ses recommandations pour Analytics et DoubleClick pourraient être généralisées « à tous les services qui sont utilisés par les utilisateurs passifs ».

 

Toujours concernant la première partie sur l'information à l'internaute, le G29 propose de personnaliser les politiques de confidentialité en fonction de chaque service (recherche, Gmail, etc.), c'est-à-dire d'afficher uniquement les traitements de données propres à ces services. 

Un meilleur tableau de bord pour contrôler ses données

Le deuxième volet porte sur les contrôles des utilisateurs sur leurs données. Intégrant six sous-parties, il recommande notamment à Google de mettre en place un tableau de bord sur tous ses services, y compris pour les utilisateurs passifs, ceci afin de permettre aux internautes de mieux gérer leurs données.

 

Le G29 propose aussi d'utiliser plusieurs cookies différents en fonction de chaque service, ceci afin de « permettre aux utilisateurs d'exercer un plus grand contrôle ». Le consentement de l'utilisateur doit toutefois être demandé.

La question du stockage des données

Enfin, la troisième partie traite de la politique de conservation des données par Google. Ne comprenant que trois sous-parties, elle suggère à l'Américain de « définir des politiques de conservation de toutes les données à caractère personnel », que ce soit sur les utilisateurs actifs et passifs. Les stratégies de rétention devraient être envoyées aux régulateurs européens, sachant que la période de rétention des données « doit être justifiée et devrait être spécifique à chaque objectif et sur une base juridique ».

 

Le G29 souhaiterait aussi que Google fasse preuve de clarté sur les traitements des données personnelles appliqués à un ancien internaute actif qui n'est plus venu sur ses sites depuis une période définie. Enfin, le processus d'anonymisation devrait être décrit par le géant du Web.

 

Notez que toutes ces recommandations ne sont pas des obligations. Les CNIL européennes indiquent bien qu'il s'agit là d'un guide pour aider Google à se conformer à la législation en vigueur. Le G29 parle d'ailleurs ici de « potentielles solutions » applicables par le moteur de recherche. « Les recommandations sont fournies seulement à titre indicatif et peuvent ne pas être les seuls moyens par lesquels Google pourrait se mettre en conformité » rajoutent-elles. Ces dernières précisent toutefois que ce guide « ne préjuge pas des mesures d'exécution par les autorités nationales fondées sur le droit national ».

 
7
Avatar de l'auteur

Écrit par Nil Sanyas

Tiens, en parlant de ça :

Un mélange entre une réunion d’Anonymous et de tête d’ampoules, pour le meilleur et le pire

652e édition des LIDD : Liens Intelligents Du Dimanche

Et bonne nuit les petits

00:04 Next 3
dessin de Flock

#Flock distribue des mandales tous azimuts

13:40 Flock 11
Un Sébastien transformé en lapin par Flock pour imiter le Quoi de neuf Docteur des Looney Tunes

Quoi de neuf à la rédac’ #11 et résumé de la semaine

11:47 Next 27

Sommaire de l'article

Introduction

« Répondre aux exigences du cadre juridique européen »

Le consentement préalable

Un meilleur tableau de bord pour contrôler ses données

La question du stockage des données

Un mélange entre une réunion d’Anonymous et de tête d’ampoules, pour le meilleur et le pire

652e édition des LIDD : Liens Intelligents Du Dimanche

Next 3
dessin de Flock

#Flock distribue des mandales tous azimuts

Flock 11
Un Sébastien transformé en lapin par Flock pour imiter le Quoi de neuf Docteur des Looney Tunes

Quoi de neuf à la rédac’ #11 et résumé de la semaine

Next 27
Carte graphique AMD GeForce

Cartes graphiques : 30 ans d’évolution des GPU

Hard 18

Google lance son opération de communications Gemini pour rivaliser avec OpenAI

IA 6
Ecran bleu de Windows

Linux : le composant systemd se dote d’un écran bleu de la mort

Soft 32
Une petite fille en train d'apprendre à programmer et hacker logiciels et appareils électroniques

Un roman graphique explique les logiciels libres aux enfants

SoftSociété 20
Nouveautés pour Messenger

Meta lance (enfin) le chiffrement de bout en bout de Messenger, entre autres

Socials 5

#LeBrief : cloud européen, OSIRIS-REx a frôlée la catastrophe, CPU AMD Ryzen 8040

Windows en 2024 : beaucoup d’IA, mais pas forcément un « 12 »

Soft 21
Einstein avec des qubits en arrière plan

Informatique quantique, qubits : avez-vous les bases ?

HardScience 9
Notifications iPhone

Surveillance des notifications : un sénateur américain demande la fin du secret

DroitSécu 17

En ligne, les promos foireuses restent d’actualité

DroitWeb 19

#LeBrief : modalité des amendes RGPD, cyberattaque agricole, hallucinations d’Amazon Q, 25 ans d’ISS

Logo Twitch

Citant des « coûts prohibitifs », Twitch quitte la Corée du Sud

ÉcoWeb 29
Formation aux cryptomonnaies par Binance à Pôle Emploi

Binance fait son marketing pendant des formations sur la blockchain destinées aux chômeurs

Éco 10
Consommation électrique du CERN

L’empreinte écologique CERN en 2022 : 1 215 GWh, 184 173 teqCO₂, 3 234 Ml…

Science 6
station électrique pour voitures

Voitures électriques : dans la jungle, terrible jungle, des bornes de recharge publiques

Société 75

#LeBrief : intelligence artificielle à tous les étages, fichier biométrique EURODAC

KDE Plasma 6

KDE Plasma 6 a sa première bêta, le tour des nouveautés

Soft 13
Un homme noir regarde la caméra. Sur son visage, des traits blancs suggèrent un traitement algorithmique.

AI Act et reconnaissance faciale : la France interpelée par 45 eurodéputés

DroitSociété 4
Api

La CNIL préconise l’utilisation des API pour le partage de données personnelles entre organismes

SécuSociété 3
Fouet de l’Arcep avec de la fibre

Orange sanctionnée sur la fibre : l’argumentaire de l’opérateur démonté par l’Arcep

DroitWeb 23
Bombes

Israël – Hamas : comment l’IA intensifie les attaques contre Gaza

IA 22

#LeBrief : bande-annonce GTA VI, guerre électronique, Spotify licencie massivement

Poing Dev

Le poing Dev – Round 7

Next 102
Logo de Gaia-X sour la forme d’un arbre, avec la légende : infrastructure de données en forme de réseau

Gaia-X « vit toujours » et « arrive à des étapes très concrètes »

WebSécu 7

Trois consoles portables en quelques semaines

Hard 37
Une tasse estampillée "Keep calm and carry on teaching"

Cyberrésilience : les compromis (provisoires) du trilogue européen

DroitSécu 3

#LeBrief : fuite de tests ADN 23andMe, le milliard pour Android Messages, il y a 30 ans Hubble voyait clair

next n'a pas de brief le week-end

Le Brief ne travaille pas le week-end.
C'est dur, mais c'est comme ça.
Allez donc dans une forêt lointaine,
Éloignez-vous de ce clavier pour une fois !

Commentaires (7)


atomusk
Le 25/09/2014 à 14h34

Wow le fait d’informer aux utilisateurs d’analytics <img data-src=" />

Après le bandeau ATTENTION ON UTILISE DES COOKIES, les popup “ATTENTION ON A DES ANALYTICS” des différents services utilisés <img data-src=" />

Maintenant je suis pour toutes ces propositions (en particulier améliorer le tableau de bord, ça serait une TRES bonne idée), mais j’ai un peu de mal à voir comment se traduirait le truc des analytics … mais surtout, pour moi ça tuerai completement l’idée des analytics … le but étant d’avoir une vision “globale” de ce que fait la population, si ça devient “opt in” (ou même opt out), ça ne sert plus à rien d’avoir un analytique <img data-src=" />


pufff
Le 25/09/2014 à 15h21





  1. To ensure that the information is accurate and comprehensive, the privacy policy must
    have, at least, the following characteristics:
    a. The privacy policy is structured so as to provide clear, unambiguous and
    comprehensive information regarding the data processing.

    b. It provides an exhaustive list of the types of personal data processed by
    Google.

    c. It provides an exhaustive list of all the purposes for which personal data are
    processed by Google.

    d. It provides information about the identity of the data controller and gives
    an address so that individuals can exercise their rights. This specifically
    includes the obligation to clearly identify Google as data controller on the
    YouTube service.


    Et là j’ai doucement ris, ça n’arrivera jamais! (a-b-c-d)



  2. When Google allows new entities to collect data, it must clearly inform users about the new recipients and the data they are allowed to collect. For instance, Google recently added “and our partners” to the set of entities that may collect anonymous identifiers when users visit Google services. However, Google did not inform about what type of entities these partners are and how they will use the collected data.


    Et là à nouveau j’ai doucement ris jaune cette fois-ci, ça n’arrivera jamais! c’est leur fond de commerce. Même si je suis le premier à être contre la collecte et l’exploitation de google (exclu le référencement).

    Maintenant si la CNIL arrive à faire appliquer ne serait-ce que ça, je dis! BRAVO et merci!.


pufff
Le 25/09/2014 à 15h31

ri*


garn Abonné
Le 25/09/2014 à 15h32

le sous titre <img data-src=" />

Aux dernieres nouvelles Google avait répondu avoir montré ses algo aux agents responsables. Et ceux ci avaient déterminés que l’algo ne consistait pas en une infraction au regard monopole / détournement des recherche pour vanter ses produits

donc la, c’est reparti, mais version Vie privée, au lieu de version “ droit à la concurrence”? C’est vrai, c’est juridiquement un autre sujet … <img data-src=" />


pufff
Le 25/09/2014 à 18h55






garn a écrit :

le sous titre <img data-src=" />

Aux dernieres nouvelles Google avait répondu avoir montré ses algo aux agents responsables. Et ceux ci avaient déterminés que l’algo ne consistait pas en une infraction au regard monopole / détournement des recherche pour vanter ses produits

donc la, c’est reparti, mais version Vie privée, au lieu de version “ droit à la concurrence”? C’est vrai, c’est juridiquement un autre sujet … <img data-src=" />



Prise en sandwich pour alimenter une fausse négociation?
Une prise à deux point “Grip” par l’Europe, un étant fixe: le droit à la concurence, l’autre variable: la collecte et le traitement. Les termes pourraient devenir, si vous vous nous donnez vos recettes (Algo et autres formules magiques), nous pourrions adoucir nos exigeances concernant l’application des “mesures pour les nuls”.

Qui sait



Zulgrib Abonné
Le 25/09/2014 à 20h09

Ils sont mignon de taper sur Google vis à vis de tout ça, mais Google fait parti des rares à proposer un tableau de bords tout court. J’ai pas de tableau de bord sur mon compte Microsoft (si il y en a un, il est bien planqué) pourtant ils sont pas emmerdés.

Je cherche pas à défendre Google ou taper sur Microsoft, mais faudrait mettre tout le monde sur un pied d’égalité. Le tableau de bord de Google je le trouve CLAIR et PRÉCIS dans son état actuel, depuis le dit tableau j’ai accès aux panneau de config de tous les services Google et j’ai même des boutons de suppressions des services.


pufff
Le 25/09/2014 à 21h19

Pendant que j’y pense et que la CNIL a déjà un beau PDF, c’est pour quand l’application des points : 2/a.b.c.d et 4 sur nos 100+.bases de données nationales,vous savez les fichiers commençants par P*, S*, F*, etc?

Ah oui, trop occupé avec google probablement.