Depuis le 1er mars, Google fusionne l’ensemble des règles de confidentialité et les données aspirées par 70 de ses services, sites et logiciels. La mesure a été présentée aux abonnés sous couvert de simplification et transparence. Arguments peu partagés par la CNIL qui vient d'adresser 69 questions au moteur sur ces nouvelles règles édictées par et pour le géant américain.
Mandatée par ses homologues européens, elle a fait savoir en février au géant américain qu’elle considère ce dispositif comme une menace pour le respect de la vie privée et la confidentialité de centaines de millions d’utilisateurs. « Par exemple, les nouvelles règles autoriseraient Google à afficher sur YouTube des publicités liées à l’activité de l’utilisateur sur son téléphone Android (numéro de téléphone, numéros appelants, heure et durée des appels) et à sa localisation. » La CNIL avait aussi émis de « de sérieux doutes sur la licéité et la loyauté » de ces collectes et croisements.
La CNIL avait du coup réclamé un moratoire sur l’activation de ce régime, moratoire refusé par Google : « Nous avons notifié 350 millions d’utilisateurs authentifiés, et fournit des alertes hautement visibles sur notre page d’accueil et dans les résultats de recherche à nos utilisateurs non authentifiés (…) Faire une pause maintenant causerait beaucoup de confusion chez les utilisateurs ». Autre chose : la fusion des données personnelles représente pour Google une fantastique opportunité en termes publicitaires puisqu'elle permet de cibler au plus près le profil de chaque internaute.
Faute de mieux, la CNIL a continué son enquête. Elle vient d’adresser 69 questions à Google afin de « clarifier les implications de ces nouvelles règles pour les utilisateurs des services Google, qu’ils soient titulaires d’un compte Google, utilisateurs non authentifiés ou utilisateurs passifs des services de Google sur d’autres sites (publicité, mesure d’audience, etc.) ». Elle demande à Google de répondre avant le 5 avril. « Les réponses (…) permettront notamment de vérifier si la combinaison de données entre services est conforme au droit européen ».
Dans ces 69 questions, la CNIL compte tout savoir de la combinaison des données glanées, aussi bien pour les utilisateurs enregistrés que ceux de passage. Ou sur les effets de la désactivation de l’historique sur cet aspirateur à données et le périmètre de la fusion des datas sur un ordinateur utilisé par les membres d’une famille. De même « est-ce que Google combine les données d’utilisateurs enregistrés depuis un service authentifié (comme Gmail) et l’utilisation d’un service non authentifié (comme Maps) sur le même navigateur ou ordinateur ? ». Les interrogations portent également sur la surface de « l’opt-out » (désengagement) selon les services et les publicités.
La CNIL précise à Google que ses réponses resteront confidentielles sauf si la firme américaine autorise explicitement cette diffusion. Un bon moyen pour éprouver la transparence des murs de Mountain View.
Mandatée par ses homologues européens, elle a fait savoir en février au géant américain qu’elle considère ce dispositif comme une menace pour le respect de la vie privée et la confidentialité de centaines de millions d’utilisateurs. « Par exemple, les nouvelles règles autoriseraient Google à afficher sur YouTube des publicités liées à l’activité de l’utilisateur sur son téléphone Android (numéro de téléphone, numéros appelants, heure et durée des appels) et à sa localisation. » La CNIL avait aussi émis de « de sérieux doutes sur la licéité et la loyauté » de ces collectes et croisements.
La CNIL avait du coup réclamé un moratoire sur l’activation de ce régime, moratoire refusé par Google : « Nous avons notifié 350 millions d’utilisateurs authentifiés, et fournit des alertes hautement visibles sur notre page d’accueil et dans les résultats de recherche à nos utilisateurs non authentifiés (…) Faire une pause maintenant causerait beaucoup de confusion chez les utilisateurs ». Autre chose : la fusion des données personnelles représente pour Google une fantastique opportunité en termes publicitaires puisqu'elle permet de cibler au plus près le profil de chaque internaute.
Faute de mieux, la CNIL a continué son enquête. Elle vient d’adresser 69 questions à Google afin de « clarifier les implications de ces nouvelles règles pour les utilisateurs des services Google, qu’ils soient titulaires d’un compte Google, utilisateurs non authentifiés ou utilisateurs passifs des services de Google sur d’autres sites (publicité, mesure d’audience, etc.) ». Elle demande à Google de répondre avant le 5 avril. « Les réponses (…) permettront notamment de vérifier si la combinaison de données entre services est conforme au droit européen ».
Cookies, publicités, opt-out...
L’examen attentif des questions montre la possible toxicité de ces nouvelles règles de confidentialité. Le gendarme des données personnelles demande d’abord à Google l’ensemble des sites et processus couverts par ces nouvelles règles. Il s’interroge également sur le traitement les données sensibles comme les cartes de crédit, log de téléphonie, location GPS, identifiant unique, etc. La CNIL veut également savoir quand, comment et quelles sont les données sensibles glanées, ou encore si la reconnaissance de visage (sur Picasa) sera concernée par ce dispositif. De même, pourquoi, quand un utilisateur demande la suppression de ses données personnelles, Google se réserve la possibilité de ne pas les supprimer de ses serveurs de sauvegarde...Dans ces 69 questions, la CNIL compte tout savoir de la combinaison des données glanées, aussi bien pour les utilisateurs enregistrés que ceux de passage. Ou sur les effets de la désactivation de l’historique sur cet aspirateur à données et le périmètre de la fusion des datas sur un ordinateur utilisé par les membres d’une famille. De même « est-ce que Google combine les données d’utilisateurs enregistrés depuis un service authentifié (comme Gmail) et l’utilisation d’un service non authentifié (comme Maps) sur le même navigateur ou ordinateur ? ». Les interrogations portent également sur la surface de « l’opt-out » (désengagement) selon les services et les publicités.
Des réponses par défaut confidentielles
Les questions mêlent aussi technique et juridique, par exemple la structure et la signification des variables de cookies, ou encore si Google reconnaît les paramètres de confidentialité des navigateurs comme l’expression des préférences utilisateurs sur le tracking et la vie privée. Et si Google considère comme légitime leur contournement. Toutes ces questions sont sur ce lien PDF.La CNIL précise à Google que ses réponses resteront confidentielles sauf si la firme américaine autorise explicitement cette diffusion. Un bon moyen pour éprouver la transparence des murs de Mountain View.
