01
mai 2024

Google et les données personnelles : interview de Pascal Alix

Interviews
Outils
TAILLE DU TEXTE

Pascal Alix, AvocatLe Monde du Droit a interrogé Pascal Alix, Avocat à la Cour, membre de l'Association Française des Correspondants à la Protection des Données à Caractère Personnel (AFCDP), concernant la position de la CNIL sur les règles de confidentialité de Google.

La CNIL a enjoint Google de modifier ses règles de confidentialité, pouvez-vous nous rappeler le contexte de cette position ?

Après avoir infligé, en 2011, une sanction pécuniaire à Google pour avoir collecté abusivement des données dans le cadre de son projet  "Street View", la CNIL, mandatée cette fois-ci par les autorités européennes de protection des données personnelles (le groupe de l'article 29 ou " G 29" ) a examiné les nouvelles règles de confidentialité mises en place par Google le 1er mars 2012 au regard de la directive 95/46/C.E. du 24 octobre 1995.

Les autorités européennes de protection des données personnelles ont été alertées à la suite de la notification, par Google, le 24 janvier 2012, de l'entrée en vigueur, à compter du 1er mars 2012, d'un document unique « fusionnant » la soixantaine de "règles de confidentialité" propres aux différents services.

Selon la CNIL, les conditions de l'enquête ont été assez difficiles, la présidente de la CNIL, évoquant, par euphémisme, un "niveau de coopération moyen" de la part de Google au cours de l’enquête, Google répondant "d'une manière vague et imprécise" , adressant des réponses incomplètes, voire refusant parfois de répondre, notamment sur la durée de conservation maximale des données.

Quelle est la conclusion de la CNIL sur les règles de confidentialité de Google ?

Pour résumer, la CNIL a conclu que Google fournissait aux utilisateurs des informations incomplètes ou approximatives sur les finalités et les catégories de données collectées et ne respectait pas, dans le cadre de la combinaison des données personnelles, les principes de proportionnalité, de limitation des finalités, de minimisation des données, ni le droit d'opposition.

La CNIL a notamment constaté que les mécanismes "d’opt-out" permettant de désactiver certains traitements étaient trop complexes et inefficaces, en citant comme exemple la nécessité de réaliser six actions différentes pour désactiver l'authentification de Google+ par un utilisateur mobile ne souhaitant pas recevoir des annonces personnalisées.

La CNIL a également constaté, à titre d'exemple, que des données personnelles provenant d’« utilisateurs passifs » se bornant à afficher des pages sur lesquelles étaient installées des boutons "+1" étaient collectées pour être combinées sans leur consentement.

De manière plus générale, des infractions ont été constatées sur le plan de l'information ou de l'obtention du consentement préalable des utilisateurs. La CNIL recommande par conséquent à Google de fournir aux utilisateurs des informations plus complètes et plus détaillées sur les traitements, leur finalité exacte, dans le respect des règles de proportionnalité et de minimisation des données, en définissant une architecture des politiques de confidentialité.

S'agissant des combinaisons de données, la CNIL a indiqué que Google devait adopter une approche prenant en compte le respect de la vie privée dès la conception du traitement de données ("Privacy by design") et mettre à la disposition des utilisateurs des systèmes simples d’opt-out, tout en limitant les durées de conservation des données.

De manière générale, la CNIL a insisté sur l'obligation de simplifier les mécanismes d'opt-out, de différencier les finalités au moyen d'outils appropriés (en utilisant, par exemple, des cookies distincts pour chaque finalité) ainsi que sur le principe selon lequel aucune combinaison de données ne peut être effectuée sans consentement.

Qu'en pensez-vous ? Y-a-t-il un risque pour les utilisateurs en ce qui concerne les
traitements de données personnelles ?

La documentation juridique de Google est de plus en plus vague et incomplète et est parfois incohérente. C’est un fait. La collecte des données personnelles augmente considérablement, ainsi que les combinaisons de données. C’est également un fait. Il n’y a là rien qui puisse me rassurer.

Si Google évoque le ciblage plus efficace de la publicité – ce qui en soi n’a rien de critiquable - ou une plus grande pertinence des résultats des recherches – ce qui en soi est plutôt positif - , les risques d'atteinte à l’intimité et à la vie privée sont de plus en plus réels compte tenu du stock croissant de données personnelles collectées sur chaque utilisateur au moyen de services de plus en plus nombreux (Google, Google+, Picasa, Youtube, Google map, Gmail, Androïd, Google Analytics, etc.) et de la plus grande efficacité d’outils permettant la combinaison de données de différentes natures.

Rien ne nous garantit que le stock considérable de données personnelles, directes et indirectes, concernant chaque utilisateur, permettant d’établir le plus complet de tous les "curriculum vitae" n'ayant jamais existé, ne soit pas ou ne sera pas utilisé à d’autres fins que pour cibler des publicités ou améliorer les résultats des recherches, par Google…ou par un tiers.

 

Propos recueillis par Arnaud Dumourier


MAGAZINE

Lex Inside du 26 avril 2024 :
Lex Inside du 23 avril 2024 :
Lex Inside du 18 avril 2024 :