Voilà presque dix mois que la Commission nationale de l’informatique et des libertés (Cnil) fouine avec grand intérêt dans les affaires de Google, pour tenter d'avoir une vision claire de sa politique de confidentialité. De quelles informations dispose l'entreprise sur les internautes qui utilisent ses services? Combien de temps conserve-t-elle ces informations? Quel usage en fait-elle ? A qui les revend-t-elle ? Est-ce contraire aux directives européennes en matière de protection de la vie privée?
Les réponses sont tombées aujourd'hui, et ce n'est pas joli-joli : «Google a quelques mois -- trois ou quatre -- pour se mettre en conformité avec la législation européenne, conclut la Cnil. S'il ne prend aucune mesure, alors nous entrerons dans une phase contentieuse.»
La longue enquête a débuté en janvier de cette année, quand le mastodonte du web a annoncé, tout content de lui, son intention de procéder à un petit «ménage» dans sa paperasse : fusionner les conditions d'utilisation (CGU) de 60 de ses services en une seule page. Or, qui dit fusion des services dit croisement des données personnelles, donc constitution d'une méga base d'informations sur la vie numérique de millions d'internautes... Mandatée par ses consœurs européennes (le groupe G29 ), la Cnil s'est donc appliquée à demander quelques précisions à Google... ou plutôt à lui tirer les vers du nez, vu les réticences de ce dernier à coopérer.
Un premier questionnaire lui a été envoyé dès le mois de mars, et ses réponses -- arrivées en retard -- ont été jugées «incomplètes ou approximatives» . Un second questionnaire a donc suivi en mai pour creuser les points restés flous : «Est-ce qu'une photo stockée en "privé" sur un album Picasa peut être utilisée par Google pour promouvoir ses services ?» «Expliquez pourquoi les données biométriques ne sont pas mentionnées dans vos conditions d'utilisation alors qu'elles sont exploitées par Google+» ...
Après la seconde vague de réponses et plusieurs mois passés à les décortiquer, la Cnil juge toujours, aujourd'hui, que «Google n'a pas fourni de réponses satisfaisantes sur plusieurs points essentiels» . Ce qui n'a pas empêché la Commission d'en tirer quelques enseignements .
La «simplification» des conditions d'utilisation, vue par Google.
Premièrement : plus c'est simple et plus c'est flou. L'internaute n'a certes plus qu' une seule page à lire et à signer avant d'utiliser un service Google, mais il est désormais «incapable de déterminer quelles sont les données personnelles utilisées pour ce service et les finalités exactes pour lesquelles ces données sont traitées.» La transparence s'est perdue au passage, et le rapport de confiance entre Google et ses utilisateurs s'en trouve extrêmement dégradé. On ne sait pas, par exemple, ce que fait réellement Google des numéros de carte bancaire qu'on lui confie ou des communications passant par un téléphone Android. Comme «les règles de confidentialité ne font pas de différence de traitement» entre ces contenus sensibles et une bête recherche d'itinéraire sur Google Maps, il faut donc considérer -- selon la Cnil -- qu'ils peuvent également être utilisés à des fins d'amélioration et de promotion des services de Google.
Pour éviter de tels débordements malencontreux, «les autorités européennes demandent [désormais] à Google de fournir une information plus claire et plus complète sur les données collectées et les finalités de chacun de ses traitements de données personnelles» . On revient donc à la case départ, avec une page de CGU par service... ou presque : les Cnil européennes proposent de rassembler les services Google en trois groupes, selon leurs usages des données personnelles, pour faire un bon compromis entre clarté et simplicité.
Selon la Cnil, le croisement des données induit par la fusion des CGU a mené Google à la constitution d'un fichier trop vaste.
Deuxième conclusion : le croisement des données induit par la fusion des CGU a mené Google à la constitution d'un fichier trop vaste «en termes de périmètre et d'historique» de conservation.
La Cnil donne l'exemple inquiétant du bouton «+1», qui est affiché sur de nombreux blogs et sites d'actualité à la fin de chaque article, comme le bouton «J'aime» de Facebook. La simple présence de ce bouton sur une page web permet à Google de collecter des informations sur les internautes : untel a lu telle page de tel site, tel jour à telle heure, depuis telle ville... Ce qui permet de reconstituer un historique de navigation assez détaillé, désormais croisable et recroisable à volonté avec tout ce que Google sait déjà de nous : historique de recherches, clics sur les publicités, mots et expressions utilisés dans les e-mails, géolocalisation, vidéos préférées, livres téléchargés... Et comme toutes ces informations, celles collectées par le bouton «+1» sans consentement de l'internaute sont «enregistrées et conservées pendant 18 mois au moins» sur les serveurs de Google.
La législation européenne est très exigeante sur ces questions de combinaison de données : Google doit disposer
«d'une base légale»
pour chacun de ces croisements, et la collecte doit toujours
«demeurer proportionnée aux finalités poursuivies»
. Or, quand on fusionne 60 règlements pour croiser tout et n'importe quoi dans une grande foire à
la vie privée, les notions de mesure et de proportion en prennent un coup.
Sur ce point, les recommandations des Cnil européennes sont claires et radicales : l'utilisateur doit pouvoir choisir «pour quels services ses données sont combinées» , en cochant ou décochant une case de consentement pour chacun d'entre eux. Il doit aussi pouvoir faire valoir son droit d'opposition et refuser toute combinaison. Enfin, Google doit modifier ses outils de combinaison de données pour en faire un usage plus proportionné, «par exemple en distinguant les outils utilisés pour la sécurité et ceux utilisés pour la publicité» .
«Nous avons privilégié le dialogue jusqu'à maintenant» , a rappelé ce matin la présidente de la Cnil, Isabelle Falque-Pierrotin. Mais si Google ne se montre pas plus concerné par le respect des directives européennes dans les quelques mois à venir, le ton pourrait changer : «Les autorités de plusieurs pays pourraient alors prendre des sanctions contre Google et cette démarche serait facilitée par notre position commune.» Bien consciente que les amendes ne font lever qu'un sourcil à l'entreprise multimilliardaire, la Cnil fait planer une autre menace: «L'impact médiatique et vis-a-vis des clients» qu'aurait une sanction infligée simultanément par 29 instances européennes.
Pour l'heure, Google n'a pas encore réagi...