Avertissement
À partir du 1er décembre 2014, ce blogue ne sera plus mis à jour.
Cynthia Chassigneux

17 octobre 2012

CNIL: recommandations sur les règles de confidentialité de Google

Le 16 octobre 2012, la Commission nationale de l'informatique et des libertés, agissant pour le compte des 27 autorités européennes de protection des données, a fait parvenir à Google une série de recommandations relatives aux nouvelles règles de confidentialité entrées en vigueur le 1er mars dernier. 

Parmi ces recommandations, on retiendra le fait que: 

- "Les autorités européennes demandent à Google de fournir une information plus claire et plus complète sur les données collectées et les finalités de chacun de ses traitements de données personnelles. Par exemple, les autorités européennes recommandent la mise en place d'une présentation avec trois niveaux de détails qui assurera une information conforme aux exigences de la Directive [95/46/CE] sans dégrader l'expérience des utilisateurs". (Source: CNIL, Actualité 16 octobre 2012)

Cette présentation sur trois niveaux pourraient reprendre l'architecture suivante:
"Premièrement, des notes de confidentialité intégrées aux produits et des notes interstitielles pourraient être rédigées pour indiquer aux utilisateurs que leurs données sont traitées lorsqu'ils utilisent les services et, en particulier, lorsqu'ils lancent un nouveau service pour la première fois. [...]
Deuxièmement, les Règles de confidentialité actuelles devraient être présentées comme un guide général sur les traitement de Google et des renvois devraient être insérés vers des informations plus détaillées sur les différents traitements. [...]
Troisièmement, des notes de confidentialité spécifiques aux produits devraient être mises à disposition. Ces notes devraient détailler pour chaque traitement et pour chaque service: les données qui sont traitées, les finalités du traitement, les destinataires et la manière dont les utilisateurs peuvent accéder à leurs données. [...]
Plus généralement, Google devraient mettre au point des présentations interactives permettant aux utilisateurs d'explorer le contenu des notes de confidentialité sans avoir à lire de longs documents linéaires. [...]"
(Source: Annexe)
- "La combinaison des données entre services a été généralisée avec ces nouvelles règles de confidentialité [...]. Les CNIL européennes relèvent que cette combinaison poursuit des finalités différentes [...]. Google doit donc modifier ses pratiques quand les données sont combinées pour ces finalités." (Source: CNIL, Actualité 16 octobre 2012)

Ainsi, Google devrait: 
1) "simplifier les mécanismes d'opt-out"; 
2) "différencier les finalités de la combinaison de données"; 
3) "collecter le consentement explicite pour la combinaison de données"; 
4) "centraliser les mécanisme d'opt-out dans un emplacement unique"; 
5) "proposer aux utilisateur authentifiés la possibilité de contrôler dans quel service ils sont authentifiés lorsque des services sont disponibles sans authentification"; 
6) "limiter la collecte et la combinaison de données provenant des utilisateurs passifs, excepté pour des finalités de sécurité"; 
7) "étendre à tous les utilisateurs européennes le processus d'analyse de fréquentation mis en place en Allemagne (information améliorée des personnes concernées par le site Web, utilisation limitée des données pour les finalités d'analyse de fréquentation et anonymisation des adresses IP)"
(Source: Annexe)
- "Google devrait définir plus clairement la durée de conservation des données personnelles, notamment pour les actions suivantes: suppression d'un contenu particulier, désabonnement à un service spécifique, suppression du compte". (Source: Annexe)

- "Google doit informer plus clairement les nouveaux utilisateurs de la possibilité d'ouvrir un compte Google sans fournir son vrai nom" (Source: Annexe)

- "Google doit compléter les Règles de confidentialité en mentionnant que les données biométriques peuvent être traitées, et préciser les conditions de la collecte et du stockage des gabarits faciaux". (Source: Annexe)

Il est à noter que ces recommandations ne portent pas sur les flux transfrontières de données ni sur la sphère de sécurité ("Safe Harbor") entre les États-Unis et l'Union européenne (Source: Annexe).  

Par ailleurs, ces recommandations ont été applaudies par les membres de l'Asia Pacific Privacy Autohities (lettre), par le Commissariat à la protection de la vie privée du Canada (lettre). 

Reste maintenant à voir la réponse de Google à ces recommandations ... à suivre donc.  


Pour aller plus loin: 

Aucun commentaire:

Enregistrer un commentaire

Remarque : Seul un membre de ce blog est autorisé à enregistrer un commentaire.