Au 1er mars, Google introduisait une nouvelle politique de confidentialité, proposant désormais un seul document au lieu d'une soixantaine, pour l'ensemble de ses services. Soucieuses que cette modification respecte le droit européen, les autorités de protection des données européennes (G29) dont la Cnil française, ont mené une enquête de plusieurs mois, dont elles livrent les conclusion ce mardi. Ainsi, les autorités demandent à Google « une information plus claire des personnes et (...) d'offrir aux utilisateurs un meilleur contrôle de la combinaison de données entre les nombreux services qu'elle propose ».
Les Cnil souhaitent que la firme de Mountain View « modifie les outils utilisés afin d'éviter une collecte excessive de données », et pointe du doigt son relatif manque de coopération. Interrogé via un questionnaire dans le cadre de l'enquête, Google a fourni des réponses « incomplètes », notamment « sur des points essentiels comme la description de tous les traitements de données personnelles qu'il opère ou la liste précise des plus de soixante politiques de confidentialité qui ont été fusionnées dans les nouvelles règle ».
La Commission de dénoncer qu'actuellement, « l'utilisateur d'un service Google est incapable de déterminer quelles sont les données personnelles utilisées pour ce service et les finalités exactes pour lesquelles ces données sont traitées ». Elle illustre cette politique en mentionnant que « les règles de confidentialité ne font pas de différence de traitement entre le contenu anodin d'une recherche et le numéro de carte de crédit ».
L'analyse des réponses ainsi que l'analyse de documents fournis par la société ont cependant permis aux Cnil de tirer des conclusion. « Google n'a pas démontré qu'il s'engageait sur les principes de la Directive Informatique et Liberté », a pointé du doigt la présidente de la Cnil française, Isabelle Falque-Pierrotin. Cette dernière a ajouté que Google disposait de quatre mois pour appliquer ces recommandations, avant d'envisager d'« entrer dans une phase contentieuse ».
Google devra agir sur plusieurs points pour se mettre en conformité
- Renforcer le consentement des personnes pour la combinaison des données pour les finalités d'amélioration de service, de développement de nouveaux services, de publicité et d'analyse de fréquentation. Cela pourrait être fait en donnant la possibilité aux utilisateurs de choisir quand leurs données sont combinées, par exemple avec des boutons dédiés sur les pages des services (cf. bouton "Search Plus Your World").
- Offrir un meilleur contrôle des utilisateurs sur la combinaison de données en centralisant et simplifiant le droit d'opposition (opt-out) et en leur permettant de choisir pour quels services leurs données sont combinées.
- Adapter les outils utilisés par Google pour la combinaison de données afin de limiter cette combinaison aux finalités autorisées, par exemple en distinguant les outils utilisés pour la sécurité et ceux utilisés pour la publicité.