Site icon Freenews

La CNIL sanctionne Google pour ses pratiques indiscrètes

Don’t be evil ?

La CNIL (Commission nationale de l’informatique et des libertés) a décidé de sanctionner de Google, pour plusieurs de ses pratiques jugées contraires aux droits individuels et à la vie privée.

Ce sont plusieurs infractions différentes aux droits individuels que la CNIL a décidé de sanctionner, après diverses mises en demeure, en infligeant à Google une amende de 100 000 euros.

Parmi les griefs listés dans un document officiel (PDF), la commission reproche notamment à Google d’avoir instauré un système de collecte de données personnelles avec son service de géolocalisation Google Latitude, sans avoir effectué les formalités nécessaires — autrement dit, sans déclaration préalable auprès de la CNIL…

Mais c’est surtout l’épineuse affaire des relevés effectués avec les Google Cars (« par erreur » selon la firme californienne), révélée en 2010, qui est sanctionnée ici. Les fichiers en question, fournis par Google à la CNIL, contenaient de très nombreuses données à caractère personnel, relevées sur des réseaux wifi ouverts.

La CNIL donne un aperçu assez édifiant de ce qui a pu être trouvé dans les relevés de Google :

  Le 2 juin 2008, à 12h46, un internaute situé selon les données GPS à proximité d’une adresse très précise, dans la ville de MARSEILLE (13007), accède à un site d’image pornographiques appelé http://www.straightboysjerkoff.com, dont il est membre. L’identifiant qu’il utilise sur le site est enregistré en clair, ainsi que son mot de passe et son adresse IP sur le réseau interne, connecté à son point d’accès. L’identifiant SSID et l’adresse MAC de son point d’accès sont connus de Google mais ont été supprimés des informations fournies à la CNIL.

 Le 21 octobre 2008 à 13h05 un internaute situé selon les données GPS à proximité de la place Anne de Beaujeu, à TOURS (37000), accède à un site de rencontres gay http://rencontres.gayvox.com. Son adresse IP sur le réseau interne connecté à son point d’accès a été enregistrée.

 Le 26 mars 2009 à 15h03, un internaute pouvant être situé très précisément à l’aide de ses coordonnées GPS sur la D118 (au nord de CARCASSONNE) accède à un site de rencontre http://www.mes-rencontres-sexy.com/ dont il est membre. L’identifiant utilisé est connu de la société, comme son mot de passe et son adresse IP sur le réseau interne connecté à son point d’accès. De nouveau, l’identifiant SSID et l’adresse MAC du point d’accès de cet utilisateur sont connus de Google mais ont été supprimés des informations fournies à la CNIL. Avant d’arriver sur ce site, selon les cookies qui ont été interceptés, l’internaute a effectué la recherche suivante sur le moteur de recherche Google : « rencontre coquine gratuite ».

 Ont également été interceptées les bribes d’un accès à un système de soins en ligne, à proximité des coordonnées GPS de la Clinique Mutualise Chirurgicale située au 3, rue le Verrier à Saint-Etienne (42100). Ces bribes font notamment référence à un soin prescrit par un professionnel de santé nommément désigné, et le chemin d’accès aux documents recherchés fait référence à un outil de gestion des patients en milieu hospitalier.

 Il a également été possible de consulter un échange de courriels entre une femme et un homme mariés, cherchant tous deux une relation extraconjugale. Les coordonnées GPS associées à cette requête, identifiées en clair, pointent vers une adresse précise (un numéro de rue dans une ville du département du Rhône). Les personnes concernées sont identifiées par leurs prénoms et leurs adresses de courrier électronique.

Ces rapprochements ont été opérés par la CNIL sans difficulté particulière, alors même que les identifiants SSID et les adresses MAC des points d’accès de ces utilisateurs, connus de la société, avaient en revanche été supprimés des informations lui ayant été fournies.

De son côté, Google, qui continue à plaider l’erreur, affirme vouloir « supprimer ces données aussi vite que possible » et en a demandé l’autorisation à la CNIL.

Quitter la version mobile