Après sept mois d'enquête, la Cnil a livré les conclusions de l'audit commandité par les 27 régulateurs européens de protection des données personnelles sur les règles de confidentialité de Google. Mise en œuvre le 1er mars, la politique de confidentialité de Google est épinglée par un audit approuvé à l'unanimité par les 27 Cnil européennes. Sont ainsi reprochés à Google la faiblesse des informations fournies aux internautes sur l'utilisation de leurs données, “une combinaison excessive et non contrôlée" de ces données et le silence de la firme sur leur durée de conservation. Après sept mois d'enquête, la Cnil a livré les conclusions de l'audit commandité par les 27 régulateurs européens de protection des données personnelles sur les règles de confidentialité de Google. Et le principal enseignement de cet audit est une information incomplète et une combinaison de données incontrôlées de la part de Google. Une situation qui résulte de la mise en place le 1er mars, malgré la demande de report de l'article 29, d'une nouvelle politique de confidentialité fusionnant plus de 60 politiques auparavant distinctes — politiques qui ne sont plus disponibles et que Google n'a, en outre, pas souhaité communiquer. “Les traitements sont présentés de manière identique quelle que soit leur finalité" Si pour Google cette fusion est une avancée dont bénéficient les utilisateurs, les Cnil européennes ne partagent pas elles cette conclusion. Lors d'une conférence de presse organisée le 16 octobre au siège de la Cnil, l'autorité française a ainsi identifié trois critiques majeures, partagées par les 27. Tout d'abord, “un déficit d'informations offert désormais aux utilisateurs", indique la présidente de la Cnil, Isabelle Falque-Pierrotin. Il est ainsi reproché à Google de ne pas mentionner précisément, à l'attention des utilisateurs, la nature des données collectées et les usages qui en sont faits. Le document unique conçu par Google au terme de la fusion de ses règles est ainsi rédigé “d'une façon extrêmement large. Les traitements sont présentés de manière identique quelle que soit leur finalité et les données concernées", pointe Isabelle Falque-Pierrotin. “Il n'est par exemple pas fait de distinction entre des données banales de type search et des données plus sensibles au regard des utilisateurs comme la géolocalisation, les numéros de téléphone ou des données biométriques", précise-t-elle. Mais les utilisateurs des services Google ne sont pas les seuls à pâtir de cette lacune sur le plan de l'information. Celle-ci affecte aussi les utilisateurs dits “non authentifiés", c'est-à-dire ne disposant pas de compte ou non connectés. Or, des données de ces derniers sont notamment collectés lorsqu'ils visitent un site sur lequel est présent un bouton +1 de Google. Et d'autres cookies de l'entreprise permettent encore de compléter cette masse de données collectées, comme le cookie Google Analytics utilisé par un grand nombre de sites tiers. Bref, personne n'échappe véritablement à l'œil de Google. “Une combinaison excessive et non contrôlée des données" Deuxième critique adressée à Google : “Une combinaison excessive et non contrôlée des données" à partir des sites de l'entreprise, mais aussi de sites tiers. Car les nouvelles règles de confidentialité conçues par Google servent bien cet objectif de combinaison — ce dont n'a pas fait mystère le géant du Web. Toutefois, ce n'est pas cette combinaison de données en elle-même qui est épinglée. “Le G29 n'y est pas opposé, a priori. Il ne s'agit pas de dire que les autorités de protection des données veulent brider l'innovation et sont hostiles à toute combinaison de données qui pourrait améliorer le service rendu à l'utilisateur", insiste Isabelle Falque-Pierrotin. Non, ce sont les bases légales nécessaires à la combinaison de données qui sont ici en cause. Lors de son enquête, la Cnil a identifié huit finalités, parmi lesquelles la publicité, l'analyse de fréquentation et la sécurité. Or, au regard du droit européen actuel, seules quatre de ces finalités ont une base légale. Quatre autres finalités de ces croisements de données ne s'accompagnent donc pas d'un consentement de l'utilisateur. “Tout ceci nous conduit à être très prudent et réservé par rapport à cette combinaison de données qui en réalité conduit à une collecte extrêmement importante de données", observe la présidente de la Cnil. “Une volonté générale de Google de ne pas s'engager sur le respect des principes informatiques et libertés" Troisième et dernière critique faite à la politique de confidentialité de Google : la durée de conservation. Sur ce point, la firme prend ainsi soin de ne prendre aucun engagement. Plus globalement, Isabelle Falque-Pierrotin regrette d'ailleurs “une volonté générale de Google de ne pas s'engager sur le respect des principes informatique et libertés". En ce qui concerne la conservation, l'audit constate que certaines données peuvent être conservées durant des durées très longues. C'est par exemple le cas des cookies DoubleClick, conservés plus de 18 mois. Des cookies qui, par ailleurs, ne concernent pas les seuls utilisateurs des services Google, mais aussi les utilisateurs passifs. Dans ses conclusions, le G29 ajoute également que, malgré des questions précises et réitérées, Google n'a pas été en mesure de fournir des informations relatives à ces durées de conservation. En langage moins diplomatique, cela signifie que l'entreprise n'a tout simplement pas répondu à ces questions. “Cette absence de réponse remet en cause l'efficacité des mécanismes d'opt-out et des actions de suppressions sollicitées par les utilisateurs" en déduit l'audit. In ZDnet.fr
