Ces derniers mois, différentes procédures et condamnations ont touché Google au sujet de l'unification de sa politique de vie privée et de données personnelles mise en place en 2012. Suite à cela, le G29, regroupant les CNIL européennes, vient de dévoiler un pack de mesures pratiques pour « aider » Google à se mettre en conformité.
« Répondre aux exigences du cadre juridique européen »
Au tout début de cette année, la CNIL infligeait une amende de 150 000 euros à Google pour plusieurs manquements relatifs à la loi « Informatique et Libertés », ceci vis-à-vis de ses règles unifiées entre tous ses services. Si la somme en elle-même était plus symbolique qu'autre chose pour un géant comme Google, ce dernier devait surtout afficher le message de condamnation sur sa page d'accueil. Néanmoins, la CNIL n'a pas été la seule commission à s'attaquer au géant de la recherche en ligne sur ses règles sur les données personnelles (voir l'exemple espagnol).
Le G29, qui regroupe ce que l'on peut appeler les CNIL européennes, vient ainsi de dévoiler un pack de mesures pratiques « afin d'accompagner la société Google dans ses efforts de conformité à la suite de ces décisions ». La commission française précise même qu'il a pour but de proposer à l'Américain « des mesures précises et pratiques qui pourraient être mises en œuvre rapidement par la société, pour répondre aux exigences du cadre juridique européen en matière de données personnelles ».
Le consentement préalable
Concrètement, ce pack est divisé en trois parties. La première, sur l'information, comporte dix sous-parties. Le G29 préconise par exemple de rendre accessible et visible la politique de confidentialité via un clic, et sans défilement si possible, ceci à partir de n'importe quelle page du service. Cette politique doit aussi fournir une liste exhaustive des types de données à caractère personnel traitées par la société, tandis que les objectifs de la collecte de ces données doivent aussi être précisés.
Google pourrait de plus informer ses utilisateurs passifs, notamment vis-à-vis de leurs données analysées par Analytics. Le G29 propose même de demander le consentement préalable des internautes européens. Mieux encore, « Google pourrait exiger des sites utilisant Google Analytics d'afficher des informations appropriées en ce qui concerne la présence du service et d'obtenir le consentement préalable ». Même logique concernant DoubleClick, sa régie publicitaire. Les CNIL européennes poussent même le bouchon encore plus loin en indiquant que ses recommandations pour Analytics et DoubleClick pourraient être généralisées « à tous les services qui sont utilisés par les utilisateurs passifs ».
Toujours concernant la première partie sur l'information à l'internaute, le G29 propose de personnaliser les politiques de confidentialité en fonction de chaque service (recherche, Gmail, etc.), c'est-à-dire d'afficher uniquement les traitements de données propres à ces services.
Un meilleur tableau de bord pour contrôler ses données
Le deuxième volet porte sur les contrôles des utilisateurs sur leurs données. Intégrant six sous-parties, il recommande notamment à Google de mettre en place un tableau de bord sur tous ses services, y compris pour les utilisateurs passifs, ceci afin de permettre aux internautes de mieux gérer leurs données.
Le G29 propose aussi d'utiliser plusieurs cookies différents en fonction de chaque service, ceci afin de « permettre aux utilisateurs d'exercer un plus grand contrôle ». Le consentement de l'utilisateur doit toutefois être demandé.
La question du stockage des données
Enfin, la troisième partie traite de la politique de conservation des données par Google. Ne comprenant que trois sous-parties, elle suggère à l'Américain de « définir des politiques de conservation de toutes les données à caractère personnel », que ce soit sur les utilisateurs actifs et passifs. Les stratégies de rétention devraient être envoyées aux régulateurs européens, sachant que la période de rétention des données « doit être justifiée et devrait être spécifique à chaque objectif et sur une base juridique ».
Le G29 souhaiterait aussi que Google fasse preuve de clarté sur les traitements des données personnelles appliqués à un ancien internaute actif qui n'est plus venu sur ses sites depuis une période définie. Enfin, le processus d'anonymisation devrait être décrit par le géant du Web.
Notez que toutes ces recommandations ne sont pas des obligations. Les CNIL européennes indiquent bien qu'il s'agit là d'un guide pour aider Google à se conformer à la législation en vigueur. Le G29 parle d'ailleurs ici de « potentielles solutions » applicables par le moteur de recherche. « Les recommandations sont fournies seulement à titre indicatif et peuvent ne pas être les seuls moyens par lesquels Google pourrait se mettre en conformité » rajoutent-elles. Ces dernières précisent toutefois que ce guide « ne préjuge pas des mesures d'exécution par les autorités nationales fondées sur le droit national ».
