Google street view et données personnelles
En 1996, Larry Page et Sergey Brin, alors étudiants à l'Université de Stanford, ont créé un moteur de recherche baptisé "BackRub" qui utilisait des liens pour évaluer l'importance de chaque page Web. Dès 1998, la société que l’on connait aujourd'hui sous le nom de Google était née.
Il s’agit d’une société américaine Google Inc. dont les activités principales sont la recherche d’informations et le développement de services sur Internet, ainsi que la publicité en ligne. Notamment, Google a développé des outils de recherche géographique reposant sur des photographies satellites ou aériennes, et prises sur les voies et lieux publics. En outre, ces outils bénéficient d’une fonctionnalité de géolocalisation permettant de déterminer la position d’un utilisateur du service.
Toutefois, jugée trop intrusive, cette activité de recherche géographique ne cesse de faire polémique dans le monde entier. La précision des photographies et la collecte illicite de données à caractère personnel pose des problèmes de confidentialité, de sécurité et de respect de la vie privée.
Sommaire
Présentation des outils de recherche géographique développés par Google
Au fur et à mesure, Google a enrichi son activité de recherche géographique par le biais de différents outils : « Google Maps », puis « Google Street View » et enfin « Google Latitude ».
« Google Maps »
La société américaine a initialement créé, en 2004, le service « Google Maps », qui permet de visualiser en ligne une zone géographique, aussi bien à l’échelle d’un pays qu’à l’échelle d’une rue. Cet outil repose sur des données cartographiques (frontières, rues, autoroutes,…), des images satellites ou aériennes.
« Google Street View »
En 2007, le service « Google Maps » a été complété par « Google Street View », offrant aux internautes une vue panoramique des rues à 360 degrés horizontalement et 290 verticalement. Les images sont prises par des « Google Cars » équipées de caméras circulant dans les rues des différentes villes, et sont ensuite assemblées par un logiciel pour donner l'impression de continuité. À l'origine, seules quelques villes américaines étaient accessibles, puis, rapidement, le service s'est étendu à d'autres pays (France, Espagne, Italie, Australie, Japon, Nouvelle-Zélande, Suisse, Portugal, Canada, …)
« Google Latitude »
Enfin, en 2009, la fonctionnalité «Google Latitude » a été intégrée aux autres outils, afin de permettre aux utilisateurs d’indiquer leur position à temps réel, par le biais d’un « smatphone », ou de visualiser celle d’autres internautes qui disposent du même équipement.
Les atteintes à la vie privée
Une atteinte à la protection des données à caractère personnel
Après avoir effectué des constatations, la CNIL a mis en demeure la Google de se conformer à la loi « informatique et libertés ». À défaut, une sanction de 100 000 euros a été infligée au géant de l’Internet.
Les constatations
Début 2010, la CNIL a mené une série de contrôles sur place, afin de vérifier la conformité des traitements mis en œuvre dans le cadre des services de géolocalisation développés par Google à la loi « Informatique et Libertés ».
Ces contrôles ont lui permis de constater que Google disposait d’une base de données commune pour l’ensemble des outils susvisés, la base « Google Location Server » (GLS).
Cette base est composée : - des informations contenues dans les requêtes des utilisateurs de Google Maps mobile ; - des signaux radios (GSM et Wi-Fi), associés à des positions GPS, - de données captées et transmises par les utilisateurs (adresses MAC et identifiants SSID des points d’accès WI-FI).
En outre, il est ressorti de ces constatations que les « Google cars » captaient et enregistraient des données transitant par les réseaux sans fil WI-FI, et ce à l’insu des personnes concernées.
Notamment, parmi ces données exploitables, la Commission a pu constater la collecte de nombreuses données concernant des particuliers, identifiés ou identifiables : des mots de passes d’accès à des sites Internet, des données de connexion à des sites de rencontre et à des sites pornographiques, des mots de passe de messagerie, des adresses de courriers électroniques ainsi que leur contenu révélant des informations sensibles sur l’orientation sexuelle ou la santé des personnes.
En avril 2010, Google avait pourtant affirmé dans un communiqué de presse internationale ne collecter aucune donnée de contenu de communications à l’occasion de la circulation de ses véhicules, puis est revenue sur ses déclarations peu après, s’excusant d’avoir collecté par erreur des données circulant sur des réseaux Wi-Fi non sécurisés.
La mise en demeure
Par conséquent, le 26 mai 2010, la CNIL a mis en demeure la société Google notamment de :
- Procéder aux formalités prévues au chapitre IV de la loi du 6 janvier 1978 pour le traitement « Google Latitude » ;
- Cesser toute collecte de données à l’insu des personnes concernées, dans le cadre du traitement « Google Street View », s’agissant en particulier des identifiants de réseaux Wi-Fi (SSID), des adresses MAC de routeurs Wi –Fi et des données des connexion issues de bornes Wi-Fi ;
- Veiller à ne plus collecter de données à caractère personnel de manière déloyale ou illicite dans le cadre du traitement « Google Street View » ;
- Communiquer à la Commission les informations et documents demandés, en particulier, fournir la CNIL une copie sur un support informatique de l’ensemble des données recueillies en France, par le biais des bornes Wi-Fi, dans le cadre du traitement « Google Street View ».
Cette mise en demeure a été adoptée sur le fondement de l’urgence, compte tenu de la gravité des faits, du nombre important de personnes concernées ainsi qu’à la nature des données traitées de nature à constituer une atteinte grave aux droits et libertés protégés par l’article 1er de la loi du 6 janvier 1978 modifiée, en particulier à la vie privée, au secret des correspondances et à la liberté d’expression.
La sanction
Toutefois, suite aux échanges et aux missions de vérification sur place diligentées postérieurement à la mise en demeure, la CNIL a engagé une procédure de sanction à l’encontre la société Google Inc.
Dans sa décision du 17 mars 2011, la formation contentieuse de la CNIL a relevé que Google avait pris l'engagement de cesser la collecte de données Wi-Fi par ses "Google cars" et de supprimer les données de contenu enregistrées selon elle par erreur.
En revanche, elle constate qu'elle n'a pas renoncé à utiliser les données identifiant les points d'accès Wi-Fi de particuliers à leur insu. En effet, cette collecte n'est aujourd'hui plus réalisée par les "Google cars", mais s'opère directement par le biais des terminaux mobiles des utilisateurs se connectant au service de géolocalisation Latitude (smartphones, etc.), et ce à leur insu. La CNIL considère que ce défaut d'information constitue une collecte déloyale au sens de la loi, qui était déjà à l'œuvre avec les "Google cars".
La formation contentieuse a estimé en outre que les réponses apportées par la société Google à la suite de la mise en demeure sont insuffisantes, celle-ci ne lui ayant toujours pas fourni les éléments du programme informatique ayant conduit à la collecte des données Wi-Fi, contrairement à sa demande en ce sens.
Enfin, elle a reproché à Google de contester l'application de la loi française au service Latitude, et d'avoir ainsi refusé de le déclarer à la CNIL malgré deux demandes en ce sens.
Dans ces conditions, compte tenu des manquements constatés et de leur gravité, ainsi que des avantages économiques que retire la société Google de ces manquements, la formation contentieuse de la CNIL a décidé de prononcer à son encontre une sanction pécuniaire de 100 000 €.
Une atteinte au droit à l’image
En mai 2008, les autorités de régulation en charge de la protection des données personnelles de l’Union européenne ont prévenu Google que son application Street View pourrait enfreindre la réglementation relative à la vie privée, et plus particulièrement au droit à l’image. Le superviseur de la protection des données de l’Union européenne, Peter Hustinx, avait même demandé à ce que photos de citoyens européens ne soient pas affichées sur le site.
Pour autant, des photos présentant des individus identifiables, ainsi que des plaques d’immatriculation de voitures furent publiées sur Google Street View, et-ce, malgré le « floutage » ,
Par exemple, les personnes de profil ou les plaques d'immatriculation visibles à travers un grillage ou de biais ne sont pas toujours détectées et « floutées ». De même, des vues sur l’accès à des domiciles privés, des images de personnes dont le visage est masqué mais qui reste reconnaissable en raison du lieu où elles se trouvent, font régulièrement l’objet de demande de « floutage » ou de suppression de l’image.
À cet égard, il doit être rappelé que Google a mis en place une rubrique «signaler un problème» (en bas à gauche de la page street view).
De plus, Google devra veiller à « garantir » l’anonymat de personnes photographiées devant des « installations sensibles ».
Circule sur désormais sur Internet des clichés insolites ou embarrassants pris par la moteur de recherche : un Finlandais nu sur sa terrasse, un Espagnol qui va voir des prostituées, un français entrant dans un sex shop…
Une polémique d'ampleur mondiale
Allemagne
Après d’âpre négociation avec la justice Allemande, Google a annoncé en avril dernier que le programme Street View ne s'étendrait à aucune nouvelle ville allemande et les photographies déjà en ligne ne seront pas actualisées. Toutefois, cette décision ne signifie pas pour autant que la firme américaine va y mettre un terme. En effet, les photographies déjà prises seront conservées en ligne. En outre, rien n'indique que Google ne va pas un jour réactiver son service en Allemagne, et l'étendre à d'autres villes.
Autriche
Le 21 avril dernier, l’autorité autrichienne de protection des données personnelles a rendu sa décision dans l’affaire Google Street View. Au terme de cette décision, le service de géolocalisation Street View du géant américain peut être inscrit sur le registre autrichien des traitements de données. Pour cela, Google s’est engagé à flouter toutes les photos de visages et de plaques d’immatriculation, préalablement à leur mise en ligne. Il devra également informer le public de son droit d’opposition à la publication de certaines catégories d’images. L’autorité autrichienne a par ailleurs exigé que toutes les images de personnes prises à des endroits « sensibles », tels que les lieux de cultes, les hôpitaux ou encore les prisons, soient floutées, de même que les images des propriétés privées cachées de la vue des piétons. Les personnes concernées devraient enfin être informées de leur droit d’opposition par le biais du site de Google, et disposer d’outils accessibles et faciles d’utilisation pour mettre en œuvre ce droit .
Belgique
Début février, le tribunal administratif fédéral de Berne avait ordonné à Google d'améliorer drastiquement les filtres utilisés dans le cadre du floutage des visages et des plaques d'immatriculation. Toutefois, alertée par la Commission de Protection de la Vie Privée de la Belgique (CPVP), la justice belge a ouvert une enquête afin de déterminer si Google a enregistré des données par le biais de réseaux Wi-Fi non sécurisés sur son territoire. Google Belgique a rapidement réagi à cette annonce, insistant sur le caractère involontaire de cette collecte. Il a par ailleurs ajouté n’avoir « ni visionné ni utilisé ces données pour des produits ou services de Google ». Selon lui, immédiatement après s’en être aperçu, le programme aurait été stoppé et les autorités de protection des données auraient été informées.
Canada
Le Commissariat à la protection de la vie privée estime que Google a contrevenu à la loi en recueillant des renseignements personnels sur des réseaux sans fil non sécurisés lors du passage des voitures du service Street View au Canada. Notamment, le Commissariat à la protection de la vie privée du Canada indique que Google a recueilli des renseignements « de nature très délicate », en donnant l'exemple d'une liste de noms et de coordonnées de personnes ayant des troubles médicaux.
Au terme de son enquête, le Commissariat a recommandé à Google d'adapter son modèle de gouvernance afin qu'il soit conformes aux dispositions légales canadiennes qui ont trait à la protection des renseignements personnels.
L'organisme recommande que ce modèle intègre la considération de tous les enjeux liés à la conception de produits et services internes et externes, l'inclusion de mesures de contrôle du respect des procédures relatives à la protection de la vie privée, l'amélioration de la formation du personnel et la nomination de personnes responsables des mesures de contrôle.
Également, la commissaire Stoddart a demandé à Google de supprimer les « données utiles » qui ont été recueilles en sol canadien, tout en respectant certaines obligations en suspend qui ont trait à des lois canadiennes et américaines.
Google a jusqu'au 1er février 2011 pour confirmer auprès du Commissariat que ces recommandations ont été mises en oeuvre.
Le Commissariat à la vie privée a précisé le contexte qui a mené à la présence de code informatique aux fonctions inappropriées au sein de l'équipement des véhicules dédiés au service Street View de Google.
Corée du sud
La police sud-coréenne a mené des perquisitions dans les bureaux de Google à Séoul et envisagerait d’engager des poursuites à l’encontre de la filiale du géant de l’internet suite à la collecte de manière illégale de données privées pour son programme Street View. La filiale américaine n’aurait en effet pas obtenu le consentement des personnes concernées ni l’accord de la commission coréenne des communications pour procéder à cette collecte. Google a confirmé la perquisition, en assurant qu’elle coopérait pleinement avec les autorités.
Espagne
Suite à une enquête lancée au mois de mai dernier, l'AEPD ( Agencia Española de Proteccion de Datos ) a annoncé le dépôt d'une plainte à l'encontre de Google pour violation des lois espagnoles sur la protection des données. Si les infractions sont prouvées devant un tribunal, Google encourt plusieurs amendes dont le montant peut aller de 60 000 à 600 000 euros.
Etats-Unis
Selon EPIC, un centre de recherche basé à Washington, la Federal Trade Commission n’utiliserait pas pleinement ses pouvoirs de sanction visant à protéger efficacement les consommateurs. Dans le cadre de sa contribution à la consultation sur la protection de la vie privée des consommateurs, EPIC pointe du doigt l’inertie de la FTC face à certaines plaintes portées devant elle, notamment contre Facebook ou Google Buzz. Il recommande par ailleurs la mise en place d’une législation fédérale basée sur l’information loyale et les technologies de protection de la vie privée ainsi que la création d’une agence indépendante dans ce domaine. A l’heure actuelle, EPIC est engagé dans différentes procédures contre la FTC, notamment suite à l’abandon de l’enquête dans l’affaire Google Street View.
Grande Bretagne
le Royaume-Uni renonce à engager des poursuites à l’encontre de Street View. Si l’enquête a bien été engagée par la Metropolitan Police, cette dernière ne donne finalement pas suite à cette affaire. Notamment, en Grande-Bretagne, la collecte des données a été qualifiée par la loi de ‘violation significative’, mais aucune amende n’a suivi. Des accords y ont été pris, pour que cela ne se reproduise plus.
Grèce
La Grèce dit non à Google Street ViewLégislation - L’équivalent en Grèce de la CNIL, la Data Protection Authority, interdit aux véhicules de Google de photographier son territoire. Elle exige plus de garanties en matière de protection de la vie privée.
L’administration grecque en charge de la protection des données, la Data Protection Authority (DPA), a pris la décision d’interdire aux véhicules de Google de réaliser des photographies pour le service Web de cartographie Street View.
Les véhicules de Google, équipés d’appareils de prise de vue à 360 degrés, ne peuvent donc pas dans l’immédiat circuler en Grèce pour alimenter son application Google Street View. La DPA estime que Google ne fournit pas assez de garanties en termes de protection des données et de confidentialité.
Inde
Le mercredi 22 juin, les autorités indiennes ont demandé aux Google d’interrompre la circulation de ses voitures, pour des raisons de sécurité, la ville étant considéré comme particulièrement sensible avec une réelle menace terroriste. Il ne s’agit donc pas, cette fois, d’un problème lié à la vie privée mais à la défense nationale. Google devra répondre aux préoccupations des autorités avant d'espérer relancer le service.
Pays-Bas
Constatant que Google avait collecté de manière illégale des données personnelles dans le cadre de son programme Street View, la Dutch Data Protection Authority, autorité néerlandaise de protection des données a donné trois mois à Google pour informer l’ensemble des habitants concernés par cette collecte de données. Sur la base d’une analyse similaire à celle de la CNIL, l’autorité néerlandaise a en effet établi que les voitures Street View avaient collecté les historiques de navigation, les mots de passe de messageries, les adresses et le contenu de courriels. Elle a par ailleurs conclu que la collecte des adresses MAC de 3.6 millions de routeurs Wi-Fi dans le pays violait également la protection des données personnelles car, associées aux données de géolocalisation enregistrées par Google, ces adresses constituaient des données personnelles. Au terme de cette période, Google devra également avoir proposé une solution sur Internet permettant à chaque néerlandais affecté de demander à ce que les données le concernant soient retirées de la base de données. A défaut d’appliquer ces mesures, Google s’expose à une amende maximale d’un million d’euros.
République Tchèque
La République Tchèque où l’agence de protection des données UOOU a elle aussi ouvert une enquête. L'autorité a donc désormais refusé à Google l’autorisation de faire circuler ses véhicules afin de mettre à jour les images de Street View. En attendant, Street View peut continuer à exploiter les images prises depuis son lancement dans le pays.
Suisse
Le Tribunal administratif fédéral de Suisse a condamné l'entreprise à suivre les recommandations de Hans-Peter Thür, préposé à la protection des données en Suisse, qui reprochait à la société de ne pas respecter la législation suisse en matière de protection des données. L’entreprise devra appliquer un contrôle manuel de chaque image si elle entend continuer sa publication, et notamment, rendre non identifiable les individus, leurs vêtements et leur couleur de peaux des individus figurant sur les photos ne puissent être identifiés. La firme américaine a néanmoins décidé de déposer un recours le Tribunal Fédéral, c’est-à-dire la plus haute juridiction du pays. A défaut d’obtenir un jugement plus favorable, Google laisse d’ores et déjà entendre qu’il pourrait fermer son service Street View en Suisse.
Voir aussi
- Trouver la notion Commission nationale de l'informatique et des libertés dans l'internet juridique français
- Trouver la notion Géolocalisation et télécommunications dans l'internet juridique français