Le 24 janvier 2012, Google a annoncé une harmonisation des règles de confidentialité de ses différents services, en vue de centraliser les données personnelles de ses utilisateurs. En effet, depuis le 1er mars 2012, chaque service Google partage et recoupe les données qu’il collecte sur chaque utilisateur avec celles déjà recueillies par les autres services Google.
Si cette politique a été présentée par Google comme une simple optimisation de ses services, elle n’en a pas moins attiré l’attention du Groupe de travail Article 29, une instance regroupant les différentes autorités de protection des données personnelles de l’UE, telles que la CNIL.
Le 2 février, ce groupe a informé Google qu’il avait chargé la CNIL d’enquêter sur la conformité de sa nouvelle politique de confidentialité unifiée au droit européen. La CNIL a rendu ses premières conclusions, par l’intermédiaire d’une lettre ouverte adressée à la direction de Google en date du 27 février.
Déplorant le manque de consultation des autorités de protection, la CNIL a observé que cette nouvelle politique de confidentialité ne respecte pas certaines exigences de la Directive 95/46/CE (dite directive données personnelles), notamment en termes de loyauté du traitement, d’indication de ses finalités et de droit à l’information des personnes dont les données sont collectées. En outre, la lettre de la CNIL a fait part à Google des doutes de la Commission sur la conformité de sa nouvelle politique à la Directive 2002/58/CE (dite directive vie privée et communications électroniques), en termes de consentement à l’utilisation de cookies.
En guise de conclusion à sa lettre, la CNIL a indiqué qu’elle comptait adresser à Google un questionnaire complet avant la fin du mois de mars afin de faire toute la lumière sur les pratiques en cause et a invité l’entreprise à suspendre l’implémentation de sa nouvelle politique de confidentialité.
Si Google a répondu à la CNIL dès le lendemain de sa lettre en clamant sa volonté de coopérer avec les autorités de protection des données, elle n’a pas modifié les stipulations de sa politique de confidentialité unifiée et a maintenu la date de son entrée en vigueur au 1er mars 2012.
Ce rappel à l’ordre aura permis au Groupe Article 29 et à la CNIL de clarifier les règles applicables au recoupement de bases de données personnelles au regard du droit de l’Union Européenne.
Quelques conseils en matière de croisement de données
Si de tels croisements restent envisageables, ils ne doivent en aucun cas se traduire par une violation des droits des utilisateurs sur ses données les concernant.
Ainsi, il est fortement déconseillé aux entreprises envisageant de multiples traitements de proposer un unique document d’ordre général. La CNIL estime en effet que, pour chaque service pris individuellement, l’utilisateur doit être informé de la finalité des traitements entrepris, des données concernées, des destinataires du traitement et de la manière dont il peut exercer ses droits d’accès.
Une entreprise collectant des données personnelles par l’intermédiaire et pour les besoins de différents services ne saurait se contenter d’adopter une politique de confidentialité de portée générale, qui couvrirait l’ensemble des services qu’elle propose et des traitements qu’elle entreprend, sans permettre de distinguer entre eux.
A défaut de pouvoir mettre en place des conditions générales indistinctement applicables à tous les services proposés, le Groupe Article 29 préconise aux entreprises concernées d’adopter un mode de présentation par couches, avec une première couche consistant en un avertissement rapide, d’ordre général, et des couches subséquentes nettement plus fournies, exclusivement consacrées à tel ou tel service.