Too big to regulate? Le cas Google, épinglé par la CNIL et ses homologues européens, pose in fine la question non pas seulement de la régulation de la firme, mais de la capacité de telles autorités de protection des données personnelles à assurer leur mission.
D'une part, le modèle économique de Google lui-même semble réfractaire aux principes du droit des données personnelles. D'autre part, peut-on se contenter, en de telles matières, d'une co-régulation et de procédures de recommandations émanant de la CNIL et consorts ? Ne faut-il pas sanctionner, plutôt que simplement encourager ?
L'enquête du G29 sur les règles de confidentialité de Google
Google, qui « a en Europe une part de marché d'environ 90 % sur les moteurs de recherche et d'environ 50 % sur les systèmes d’exploitation de smartphones », vient de se faire taper sur les doigts par l'ensemble des CNIL européennes, comme l'annonce le site de la Commission nationale Informatique et Libertés (site peu "user friendly" au demeurant, avec des changements d'URL, des liens morts, et un archivage peu lisible, en particulier pour les documents du dossier /fileadmin/...).
D'une part, le modèle économique de Google lui-même semble réfractaire aux principes du droit des données personnelles. D'autre part, peut-on se contenter, en de telles matières, d'une co-régulation et de procédures de recommandations émanant de la CNIL et consorts ? Ne faut-il pas sanctionner, plutôt que simplement encourager ?
L'enquête du G29 sur les règles de confidentialité de Google
Google, qui « a en Europe une part de marché d'environ 90 % sur les moteurs de recherche et d'environ 50 % sur les systèmes d’exploitation de smartphones », vient de se faire taper sur les doigts par l'ensemble des CNIL européennes, comme l'annonce le site de la Commission nationale Informatique et Libertés (site peu "user friendly" au demeurant, avec des changements d'URL, des liens morts, et un archivage peu lisible, en particulier pour les documents du dossier /fileadmin/...).
La CNIL a en effet été chargée par le G29, qui réunit les autorités de protection des données personnelles de l'UE, de l'enquête sur les Règles de confidentialité adoptées par le moteur de recherche et refondues en mars 2012 afin d'être les mêmes pour tous les services de la firme. Avertissement repris par l'Asia Pacific Privacy Authorities...
Combiner n'importe quelle donnée, de n'importe quel service, pour n'importe quelle finalité...
La lettre du G29 explique le mieux la situation :
En second lieu, l'enquête a confirmé nos inquiétudes [our concerns] concernant la combinaison des données entre les différents services [gérés par Google]. La nouvelle politique de protection des données personnelles (Privacy Policy) permet à Google de combiner presque n'importe quelle donnée de n'importe quel service pour n'importe quelle finalité [The new Privacy Policy allows Google to combine almost any data from any services for any purposes.].
En bref, l'ampleur prise par ce qui n'était, à l'origine, qu'un moteur de recherche, mais dont les activités se démultiplient, suscitant aux Etats-Unis l'intérêt de la Federal Trade Commission (FTC) chargée de la réglementation anti-trust (Washington Post, 15/10/12), constitue une réelle menace sur notre vie privée ; à titre d'exemple sur ce que le data-mining permet, cf. VISA prédit les divorces, Vos Papiers!, 15/04/10.
Ainsi, Google s'affranchit allègrement des principes les plus élémentaires de la législation Informatique et libertés, tel que codifiés, notamment, par la directive 95/46/CE sur la protection des données personnelles. La CNIL rappelle ainsi que « la combinaison de données entre services doit respecter les principes de la proportionnalité, de limitation des finalités, de minimisation de données et du droit d’opposition. Google ne souscrit pas publiquement à ces principes » (ici et au long du texte, il s'agit de la CNIL mandatée par le G29 qui parle).
Des données multiples, de l'historique de navigation aux données biométriques ...
Ces données sont multiples: il s'agit tant de données de connexion et de navigation, que de données personnelles, telles les adresses IP, la localisation géographique, le numéro de téléphone, le numéro de carte crédit, ainsi que les données biométriques, en particulier celles liées à la reconnaissance automatisée du visage (il s'agit de la fonction 'Find My Face', comme ne le précise pas la CNIL), qui n'est « pas mentionnée dans les Règles actuelles » de confidentialité (CNIL, ibid).
... à des fins diverses, de la fourniture de services à la publicité ciblée jusqu'à la recherche universitaire.
A quoi servent ces données? Ceci n'est pas expliqué par Google, contrairement aux principes d'information, sans parler du respect de la proportionnalité quant à la finalité poursuivie. Or, l'un des problèmes majeurs concerne ce mélange des genres : Google s'est fait une spécialité d'accumulation de données brutes, pouvant être utilisées voire vendues ensuite, sans trop savoir à quels usages. En bref, son modèle économique repose sur cette accumulation de données : aux utilisateurs-clients qui voudront y accéder d'y trouver une utilité, et si celle-ci est répréhensible, Google s'en lave les mains...
Ainsi, selon la CNIL:
Le Groupe de l’Article 29 a identifié huit différentes finalités pour la combinaison de données entre les services de Google :
- La fourniture de services où l'utilisateur demande la combinaison des données (cas n° 1) (ex. : Contacts et Gmail)
- La fourniture de services demandés par l'utilisateur, mais où la combinaison des données s'applique sans que l'utilisateur n'en soit directement informé (cas n° 2) (ex. : personnalisation de résultats de recherche)
- Finalité de sécurité (cas n° 3)
- Finalité de développement de produits et d'innovation marketing (cas n° 4)
- La mise à disposition du Compte Google (cas n° 5)
- Finalité de publicité (cas n° 6)
- Finalité d'analyse de fréquentation (cas n° 7)
- Finalité de recherche universitaire (cas n° 8)
Or,
Pour quatre des huit finalités susvisées, le Groupe de l’Article 29 a établi l'absence de base légale pour la combinaison de données entre services.
C’est le cas de la fourniture de services où la combinaison des données s'applique sans que l'utilisateur n'en soit directement informé (cas n° 2) et des finalités de développement de produits et d'innovation marketing (cas n° 4), de publicité (cas n° 6) et d'analyse de fréquentation (cas n° 7).
En clair: Google est hors-la-loi. Les principes les plus élémentaires du droit de la protection des données personnelles (principe de proportionnalité, de finalité, d'information, etc.) ne sont pas respectés. La possibilité d'opt-out n'existe pas, a fortiori pour les utilisateurs « secondaires », ou « passifs », de Google (« Les utilisateurs passifs, selon la définition figurant dans le questionnaire envoyé le 16 mars, sont des utilisateurs qui ne sollicitent pas directement un service Google, mais dont les données sont malgré tout collectées, généralement par le biais de plateformes publicitaires tierces, d’analyses ou de boutons +1 »). De plus, « Google n'a pas été en mesure de fournir une durée maximale ou habituelle de conservation des données personnelles traitées »....
S'agissant de l'analyse de la fréquentation, lié au service AdWords, la CNIL précise :
En ce qui concerne Google Analytics et la combinaison de données à des fins d'analyse de fréquentation, des mécanismes spécifiques de protection ont été mis en place pour les utilisateurs allemands : la combinaison de données entre services est exclue, un contrat spécifique est signé entre Google et le site web et les clients peuvent automatiquement anonymiser l'adresse IP partagée avec Google. Ces conditions peuvent assurer une protection adéquate des données personnelles et devraient être étendues à tous les États membres européens.
Too big to regulate ? Quand le G29 « encourage » Google à respecter le droit...
Cette indifférence hautaine de Google envers les principes élémentaires du droit de la protection des données personnelles pose question. Comment, par exemple, la firme peut-elle ne pas être « en mesure de fournir une durée maximale ou habituelle de conservation des données personnelles traitées » ?
Il ne s'agit pas là, a priori, d'une requête exorbitante. Chaque traitement de données autorisé par la CNIL, ne serait-ce que par la procédure simplifiée, est censé respecter ces principes. Ce qui représente un coût pour les PME (mise en place des correspondants Informatique et libertés, etc.). Or, Google, qui effectue des bénéfices records, aura du mal à nous faire pleurer en mettant en avant le coût du respect du droit.
S'abritant derrière le secret commercial de ses algorithmes, la firme se fonde sur un modèle économique opaque, d'accumulation de données brutes concernant les internautes, qu'elle espère bien pouvoir commercialiser. Quant à la question de l'usage, que ce soit par elle, ou par ses clients, de ces données, elle ne s'y intéresse guère...
Dès lors, la vraie question est de savoir si on peut se contenter de simple « recommandations » du G29, qui n'ont aucun caractère contraignant, alors même qu'il a constaté l'absence de base légale du fonctionnement de Google. Suffit-il, par exemple, de ce que « le Groupe de l’Article 29 encourage Google à respecter le principe d’une durée de conservation strictement limitée au regard des finalités » ?
Ceci, d'autant plus que, selon la CNIL, « les risques associés à la combinaison de données entre services sont élevés pour les personnes concernées : violation de données, malveillance interne, réquisitions judiciaires, etc. », et qu'on sort donc du champ strict du droit à la vie privée pour entrer dans le champ du droit pénal. Vu l'importance des enjeux, la procédure de « co-régulation » à l'amiable, appelée de ses voeux par le G29, paraît douteuse.
Ceci, d'autant plus que, selon la CNIL, « les risques associés à la combinaison de données entre services sont élevés pour les personnes concernées : violation de données, malveillance interne, réquisitions judiciaires, etc. », et qu'on sort donc du champ strict du droit à la vie privée pour entrer dans le champ du droit pénal. Vu l'importance des enjeux, la procédure de « co-régulation » à l'amiable, appelée de ses voeux par le G29, paraît douteuse.
La CNIL est habilitée à prendre des mesures de sanction : ne serait-ce pas, vu l'étendue des activités illégales (pardon, privées de base légale) de Google, opportun ? La Commission européenne, les Etats-membres, le Parlement européen et les tribunaux ne devraient-ils pas prendre ce sujet à bras-le-corps, en exigeant que tout ceci soit éclairci par Google, et de façon générale par les firmes fonctionnant sur des modèles similaires (Facebook, etc.) ?
Etant donné le modèle économique même sur lequel est fondé Google, il est en effet peu probable que la firme se conforme d'elle-même au droit commun. En fait, le respect des principes élémentaires du droit, notamment des principes de proportionnalité, de finalité, et de durée de conservation, vont à l'encontre même du modèle Google, fondé sur l'exploitation de données brutes à des fins encore indéterminées.
Voir aussi, sur ce site :
Messages labellisés Google, dont, en particulier :
Google et le mot-clé "juif": devant les juges, 10 mai 2012
Google et le droit à l'oubli en Espagne, 8 février 2011
Et Data-mining: VISA prédit les divorces, 15 avril 2010
Aucun commentaire:
Enregistrer un commentaire