Les Cnil souhaitent que la firme de Mountain View « modifie les outils utilisés afin d'éviter une collecte excessive de données », et pointe du doigt son relatif manque de coopération. Interrogé via un questionnaire dans le cadre de l'enquête, Google a fourni des réponses « incomplètes », notamment « sur des points essentiels comme la description de tous les traitements de données personnelles qu'il opère ou la liste précise des plus de soixante politiques de confidentialité qui ont été fusionnées dans les nouvelles règle ».
L'analyse des réponses ainsi que l'analyse de documents fournis par la société ont cependant permis aux Cnil de tirer des conclusion. « Google n'a pas démontré qu'il s'engageait sur les principes de la Directive Informatique et Liberté », a pointé du doigt la présidente de la Cnil française, Isabelle Falque-Pierrotin. Cette dernière a ajouté que Google disposait de quatre mois pour appliquer ces recommandations, avant d'envisager d'« entrer dans une phase contentieuse ».
Google devra agir sur plusieurs points pour se mettre en conformité
- Renforcer le consentement des personnes pour la combinaison des données pour les finalités d'amélioration de service, de développement de nouveaux services, de publicité et d'analyse de fréquentation. Cela pourrait être fait en donnant la possibilité aux utilisateurs de choisir quand leurs données sont combinées, par exemple avec des boutons dédiés sur les pages des services (cf. bouton "Search Plus Your World").
- Offrir un meilleur contrôle des utilisateurs sur la combinaison de données en centralisant et simplifiant le droit d'opposition (opt-out) et en leur permettant de choisir pour quels services leurs données sont combinées.
- Adapter les outils utilisés par Google pour la combinaison de données afin de limiter cette combinaison aux finalités autorisées, par exemple en distinguant les outils utilisés pour la sécurité et ceux utilisés pour la publicité.
