Politique de confidentialité : le G29 propose des mesures à Google
Afin qu'il soit conforme au cadre juridique européen

Le , par Stéphane le calme, Chroniqueur Actualités
Au cours de l'année 2012, Google a décidé de fusionner en une seule politique les différentes règles de confidentialité applicables à une soixantaine de ses services (notamment Google Search, Picasa, Google Drive, Google Docs, Google Maps, Youtube, etc.).

De février à octobre 2012, le G29 (groupe de travail Article 29 sur la protection des données qui est un organe consultatif européen indépendant sur la protection des données et de la vie privée) a mené une enquête sur ces nouvelles règles à la lumière de la législation européenne applicable en matière de protection des données. Suite à son investigation, le G29 a conclu que la politique de confidentialité n’était pas conforme au cadre juridique européen. S’en sont suivi des listes de recommandations pour aider à rectifier le tir que Google n’a pas suivies.

C’est dans ce cadre que, le 03 janvier 2014, la formation restreinte de la Commission nationale de l’informatique et des libertés (CNIL) a prononcé une sanction pécuniaire de 150 000 euros à l’encontre de la société Google Inc., estimant que les règles de confidentialité mises en œuvre par celle-ci depuis le 1er mars 2012 ne sont pas conformes à la loi (n°78-17) du 6 janvier 1978 relative à « l’informatique et libertés ».

Elle a relevé que la société n'informe pas suffisamment ses utilisateurs des conditions et finalités de traitement de leurs données personnelles. De ce fait, ils ne peuvent comprendre, ni les finalités de la collecte, celles-ci n'étant pas déterminées comme l'exige la loi, ni l'ampleur des données collectées à travers les différents services. Par conséquent, ils ne sont pas mis en mesure d'exercer leurs droits, notamment d'accès, d'opposition ou d'effacement.

Aussi, les autorités de protection ont établi 19 grandes mesures pour servir de lignes directrices réparties en 3 catégories : information, contrôle des utilisateurs et conservation des données. Dans le domaine de l’information donnée par Google aux utilisateurs de ses services, l’Europe propose dix sous-parties. Parmi ses recommandations, le G29 suggère que la « politique de confidentialité doit être immédiatement visible et accessible » en un clic et de préférence sans défilement à partir de n'importe quelle page du service. Cette politique doit également fournir une liste exhaustive des types de données à caractère personnel traitées par la société en plus d’en préciser les objectifs.

Le G29 propose de personnaliser les politiques de confidentialité en fonction de chaque service (recherche, Gmail, etc.), en clair d'afficher uniquement les traitements de données propres à ces services.

Concernant le contrôle des données utilisateurs, le G29 constate que Mountain View a récemment ajouté dans sa politique, sans information préalable, que des partenaires pourraient désormais collecter des données sans préciser l’identité de ces « partenaires » et les objectifs de ces collectes. Aussi, les autorités souhaitent donner plus de contrôle aux internautes sur leurs données en leur permettant, depuis un tableau de bord accessible, de donner leur consentement ou non à des collectes de données service par service.

Enfin, concernant la politique de conservation des données par Google, le G29 suggère de « définir des politiques de conservation de toutes les données à caractère personnel », que ce soit sur les utilisateurs actifs et passifs. Les stratégies de rétention devraient être envoyées aux régulateurs européens, sachant que la période de rétention des données « doit être justifiée et devrait être spécifique à chaque objectif et sur une base juridique ».

« Ces recommandations sont fournies uniquement à titre illustratif et ne sauraient être les seuls moyens par lesquels Google soit conforme. Elles doivent être regardées comme des solutions potentielles afin de donner des suggestions pratiques sur la manière dont les exigences pourraient être mises en œuvre » précise le G29. Libre donc à Google d'en choisir d'autres à condition qu’elles respectent les mesures définies par l’Europe.

Source : proposition G29 (au format PDF)

Et vous ?

Qu'en pensez-vous ?


Vous avez aimé cette actualité ? Alors partagez-la avec vos amis en cliquant sur les boutons ci-dessous :


 Poster une réponse Signaler un problème

Avatar de marsupial marsupial - Membre émérite https://www.developpez.com
le 29/09/2014 à 20:57
Dans le cas où cela reste au stade de recommandations, cela donnera de rien à pas grand chose : un changement cosmétique.
Les lois informatiques et libertés de chaque pays européen conservent des axes identiques à quelques iota près. Les faire respecter par Google ( et Facebook , et Apple, et MS, etc ... ) par une astreinte en espèce sonnante et trébuchante conviendrait plus au besoin inhérent à ce nouveau gisement des données personnelles et privées.
Avatar de pmithrandir pmithrandir - Expert confirmé https://www.developpez.com
le 30/09/2014 à 11:08
ca viendra peut etre... ils sont en train de parler de mettre en place des amendes en % de chiffre d'affaire...

M'est avis que google rigolerai moins du coup...
Avatar de hotcryx hotcryx - Membre extrêmement actif https://www.developpez.com
le 30/09/2014 à 11:27
Mais quel foutage de gueule quand on sait ce que fait PRISM... derrière notre dos.

Par contre l'état américain lui n'a aucune sanction.
Avatar de Simara1170 Simara1170 - Membre éprouvé https://www.developpez.com
le 30/09/2014 à 11:51
Citation Envoyé par hotcryx Voir le message
Mais quel foutage de gueule quand on sait ce que fait PRISM... derrière notre dos.

Par contre l'état américain lui n'a aucune sanction.
je te met 10 pour le HS en beauté... Puis pour te répondre, on peut pas taxer un état d'anti-trust

Pour le reste, je reste convaincu de mon point de vue: les autres géants de l'IT aimeraient beaucoup se tailler une part du gâteau que représente l'empire de Google sur la Toile...
Avatar de Stéphane le calme Stéphane le calme - Chroniqueur Actualités https://www.developpez.com
le 16/12/2014 à 19:15
Pays-Bas : Google dans le collimateur de la Dutch DPA,
à cause de sa politique sur la collecte de données de ses utilisateurs

Ce lundi 15 décembre 2014, les autorités néerlandaises de protection des données (Dutch DPA) ont annoncés avoir imposé une « astreinte incrémentale » à l’endroit de Google pour violation de la loi néerlandaise relative à la vie privée qui pourrait coûter au numéro un de la recherche la bagatelle de 15 millions d’euros.

De quoi s’agit-il ? Le 1er mars 2012, Google a décidé de faire fusionner les politiques de confidentialité de ses différents services en ligne comme il l’avait annoncé en janvier 2012 afin de ne plus confiner les données utilisateurs à un service en particulier mais les utiliser sur l’ensemble de sa soixantaine de services (notamment Google Search, Picasa, Google Drive, Google Docs, Google Maps, Youtube, etc.). Bien entendu, le G29 (groupe de travail Article 29 sur la protection des données qui est un organe consultatif européen indépendant sur la protection des données et de la vie privée) a décidé de mener une enquête concernant ces nouvelles règles sur la période allant de février à octobre 2012. Les autorités ont conclu que la politique de confidentialité n’était pas conforme au cadre juridique européen. S’en sont suivi des listes de recommandations pour aider à rectifier le tir que Google n’a pas suivies.

Un dossier qui n’a pas été refermé puisque l’année dernière, le 28 novembre 2013, les autorités néerlandaises estimaient que la nouvelle politique de confidentialité de Google violait les lois du pays en exploitant certaines données personnelles, comme l'historique de navigation ou les informations de localisation, pour diffuser de la publicité ciblée. « Google nous emprisonne dans une toile web invisible de nos données personnelles sans nous le faire savoir et surtout sans demander notre consentement », expliquait Jacob Kohnstamm, président de la Dutch DPA. Les autorités avaient alors invité Google à des pourparlers afin de décider de ce qu’il y aurait lieu de faire. Elles n’ont sans doute pas reçu satisfaction puisqu’elles reviennent sur le dossier le lundi 15 décembre. D’ailleurs, parlant de cette situation, Kohnstamm estime que « ceci dure depuis 2012 et nous espérons que notre patience ne sera plus mise à l’épreuve ».

Concrètement, quelles sont les demandes des autorités ? Elles réclament que Google informe au préalable les utilisateurs de ses actions de collecte depuis ses différents services et de recueillir un consentement. « Ceci peut être fait via une fenêtre séparée où le consentement serait demandé. Le consentement explicite ne saurait être obtenu via des informations sur le processus dans les termes et conditions d’utilisation ». La Dutch DPA demande également que les utilisateurs soient informés des données personnelles qui seront recueillies par les différents services de Google. Moutain View a jusqu’au 28 février 2015 pour effectuer les changements nécessaires sous peine de s’exposer à des sanctions pécuniaires.

Un porte-parole de Google a d'ores et déjà réagi face à cette décision, précisant que l'entreprise était déçue, mais prête à coopérer avec les instances européennes en charge de la protection des données.

Source : College bescherming persoonsgegevens

Et vous ?

Qu'en pensez-vous ?
Avatar de Saverok Saverok - Expert éminent https://www.developpez.com
le 17/12/2014 à 14:39
Citation Envoyé par Stéphane le calme Voir le message
Qu'en pensez-vous ?
15 millions, c'est beaucoup trop peu au vu du CA de Google
Par contre, j'approuve toutes les démarches qui vont dans le sens de l'information au client.

Beaucoup trop de gens ignorent la nature des données qui sont récupérées et leur utilisation.
Avatar de Matthieu Vergne Matthieu Vergne - Expert éminent https://www.developpez.com
le 18/12/2014 à 14:25
Encore que dire ce qui est utilisé n'est pas forcément très parlant. C'est plutôt le pourquoi. On peut utiliser des tas de données très banales, mais si ça permet d'inférer des données plus subtiles, ces données là en revanche ne sont pas récupérées directement auprès de l'individu et n'ont donc pas à être mentionnées... alors que c'est précisément ce qui peut-être le plus intéressant. Par exemple, plutôt que de récupérer directement des informations polémiques, si on arrive à les inférer (avec une erreur faible) à partir de données moins polémiques, il suffit de demander ces données moins polémiques et les données polémiques passent ni vu ni connu.
Contacter le responsable de la rubrique Accueil