Street View : Google condamnée à 300 000 euros par la CNIL espagnole

Mais où est donc Google Car 24
Accès libre
image dediée
Crédits : Google Street View
Justice
Par
le jeudi 09 novembre 2017 à 15:58
Marc Rees

Google a été condamnée par la CNIL espagnole à une amende de 300 000 euros pour infraction grave à la législation sur la protection des données personnelles. En cause ? Les Google Cars qui avaient collecté, entre 2008 et 2010, de nombreuses données personnelles au fil de leurs périples, sans le moindre aval des personnes concernées.

La Agencia Española de Protección de Datos (AEPD), équivalente espagnole de notre CNIL, clôt là un dossier ouvert en mai 2010, mais suspendu depuis suite à l’ouverture d’une procédure pénale à l’encontre de l’entreprise américaine. Celle-ci ayant abouti à un rejet, l’autorité a pu reprendre le flambeau et aboutir à cette amende pour infraction grave.

Autre temps, autres mœurs. À l’époque, le 14 mai très exactement, Google admettait finalement avoir collecté par erreur de nombreuses données depuis des connexions Wi-Fi non sécurisées, en plus des photos, via son service Street View lancé en 2007.

Identifiants SSID, données de connexion, mots de passe, mails

La nouvelle connue en France, la CNIL avait effectué un contrôle sur place cinq jours plus tard afin de jauger la nature des données collectées et les rustines appliquées. De là, il s'avérait que le service associé à Maps avait notamment « enregistré des mots de passe d'accès à des boites mail, à l’insu des personnes [et] des extraits de contenus de messages électroniques », dixit le rapport de la CNIL.

Deux mois plus tard, les Google Cars reprenaient du service sur les routes françaises, avec des options en retrait puisque limitées à la seule capture des photos et images 3D. 

En mars 2011, la CNIL sanctionnait tout de même l’entreprise à une amende de 100 000 euros : l’enquête de la Commission avait alors « permis de constater que Google avait enregistré, outre des données techniques (identifiants SSID et adresses MAC des points d'accès Wi-Fi), de nombreuses données concernant des particuliers, identifiés ou identifiables (données de connexion à des sites web, mots de passe de messagerie, adresses de courrier électronique, échanges de courriels révélant notamment des informations sensibles sur l'orientation sexuelle ou la santé des personnes) ».

Pire, le géant américain avait continué son ratissage non plus via les Google Cars mais avec le service de géolocalisation Latitude installé sur les smartphones, à l’insu des utilisateurs.

En Espagne, 300 000 euros pour infraction grave

En Espagne, l’autorité de contrôle a abouti à la même conclusion, celle d’une collecte illicite de données personnelles sans l’accord des principaux intéressés.

Dans un communiqué publié avant-hier, elle a conclu à l’existence d’une « infraction grave » à la législation nationale, avec une précision : « le fait que les titulaires de réseaux Wi-Fi n’aient pas opté pour le chiffrement, au détriment de la sécurité de leurs données, n'autorisait en aucune manière la collecte des informations ou leur utilisation ultérieure. »

Pour forger sa décision, qui aboutit à la peine la plus importante prévue ce niveau d’infraction, la CNIL espagnole a tenu compte de la période considérée (mai 2008 à mai 2010), l’atteinte à la vie privée, outre « le volume massif de données personnelles recueillies » , le poids économique de l’entreprise et le fait que ce système avait été conçu par elle.

Il reste que ces 300 000 euros ne sont qu’une goutte d’eau prélevée dans l’océan de Mountain View. Avec le règlement général sur la protection des données personnelles (RGPD), en vigueur en mai 2018, les futurs contrevenants s’exposeront à des amendes pouvant atteindre jusqu’à 4 % de leur chiffre d’affaires annuel mondial.


chargement
Chargement des commentaires...